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随 着 信息 化 系统 建设 复杂 度 的 提高 、 网 络 与 数据 库 的 迅速 发 展 及 其 应 用 的 不 断 广泛 和 深 
入 ， 社 会 对 信息 和 信息 技术 依赖 性 的 不 断 增 强 ， 软 件 的 安全 性 显得 越 来 越 重 要 。 不同 的 软件 
包含 各 类 信息 ， 有 的 包含 行业 机 密 ， 有 的 包含 个 人 隐私 信息 ， 有 的 甚至 包含 国家 机 密 信息 ， 
软件 的 安全 性 已 经 关系 到 国家 政治 、 军 事 、 经 济 等 各 个 方面 乃至 全 社会 的 安全 ， 针 对 软件 安 
全 性 进行 测试 也 就 显得 十 分 重要 。 尽 管 “ 软 件 安 全 ”的 概念 已 经 为 大 多 数 业 内 人 士 所 熟知 ， 
但 国内 在 软件 安全 测试 领域 仍 存 在 很 大 差距 , 培养 软件 安全 测试 方面 的 人 才 已 经 成 为 高 等 学 
校 的 一 项 重要 任务 ， 这 也 是 编写 本 书 的 目的 。 

本 书 是 针对 高 等 院 校 计算 机 、 软 件 工程 等 专业 本 科 生 的 教学 特点 和 教学 要 求 , 更 加 强调 
理论 和 工程 技术 应 用 相 结合 而 编写 的 教材 。 本 书 以 介绍 软件 安全 的 基础 理论 知识 、 软 件 安全 
设计 与 编程 的 基础 知识 、 软 件 安全 技术 的 基本 知识 为 背景 ， 以 代码 安全 静态 分 析 和 软件 安全 
动态 渗透 测试 知识 为 支撑 , 重点 是 通过 介绍 WebInspect 和 HP Fortify 这 两 款 惠普 公 司 开发 的 
软件 安全 测试 工具 ， 使 读者 能 够 系统 地 了 解 并 掌握 软件 安全 测试 的 理论 与 实际 方法 ， 达 到 理 
论 与 实践 相 结 合 的 教学 效果 。 

本 书 由 3 部 分 构成 。 第 1 部 分 包括 第 1~3 章 ， 主 要 介绍 软件 安全 基本 概念 、 安 全 的 软 
件 开发 生命 周期 、 软 件 安全 编程 以 及 软件 安全 相关 的 技术 ,为 第 2 部 分 介绍 软件 安全 测试 方 
法 进行 必要 的 准备 和 铺垫 。 第 2 部 分 包括 第 4 和 第 5 章 ， 完 整 和 系统 地 介绍 代码 安全 静态 分 
析 方 法 和 软件 安全 动态 渗透 测试 方法 。 第 3 部 分 包括 第 6 一 8 章 ， 详 细 介 绍 惠普 公司 开发 的 
安全 测试 软件 WebInspect 和 HP Fortify 的 使 用 方法 。 

本 书 旨 在 为 读者 提供 软件 安全 测试 相关 的 基础 理论 和 相关 软件 的 使 用 技巧 , 并 重点 讨论 
软件 安全 问题 的 现状 和 相关 的 国际 标准 ， 介 绍 软件 安全 技术 中 的 加 密 技 术 、 身 份 验证 技术 、 
访问 控制 技术 、 安 全 保障 和 网 络 安全 的 相关 知识 。 全 书 涉及 的 内 容 十 分 广泛 ， 在 作为 教材 使 
用 时 可 根据 课程 要 求 和 学 时 数 在 内 容 、 重 点 和 深度 方面 进行 适当 的 取舍 。 

本 书 由 北京 工业 大 学 何 泾 沙 教授 担任 主编 ， 参 编 人 员 包 括 蔡 建 平 、 轩 兴 刚 、 白 饮 、 杜 江 
浩 、 郭 军 、 周 博 、 赵 斌 ， 以 下 人 员 在 编写 过 程 中 多 次 参与 了 研讨 活动 以 及 最 后 的 校 稿 : 张 玉 
强 、 张 伊 艇 、 刘 公 政 、 陈 奕 洲 、 潘 力 斌 、 万 雪 嫌 、 徐 琛 、 张 博 雍 、 张 跃 骞 、 郊 伟 。 在 此 向 所 
有 参 编 和 参 校 人 员 表示 衷心 感谢 。 

本 书 在 编写 过 程 中 参考 了 国内 外 许多 相关 领域 的 文献 和 书籍 , 也 从 其 他 同行 的 工作 中 得 
到 了 很 多 启发 ， 在 此 一 并 向 相关 人 士 表 示 衷 心 感谢 。 
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本 章 导 读 
本 章 首先 介绍 软件 安全 相关 的 基本 概念 、 软 件 安全 知识 体系 和 常用 名 称 以 及 软件 安全 相 
关 的 常用 工具 。 然 后 介绍 软件 安全 问题 及 其 产生 的 原因 ， 列 举 常见 的 软件 缺陷 和 漏洞 ， 并 讲 
解 针 对 软件 安全 的 测试 方法 。 最 后 阐述 软件 安全 的 相关 标准 ， 包 括 安全 规则 与 规章 、 软 件 安 
全 原则 和 相关 国际 标准 。 
应 掌握 的 知识 要 点 : 
@ 软件 安全 基本 概念 ; 
软件 安全 常用 名 称 ; 
软件 安全 调试 工具 ; 
软件 的 安全 问题 ; 
软件 缺陷 和 漏洞 ; 
针对 软件 安全 问题 的 测试 ; 
软件 安全 的 原则 。 


1.1 软件 安全 基本 概念 


当代 社会 ， 计 算 机 应 用 的 迅速 发 展 给 人 们 的 生活 带 来 极 大 的 便利 。 软 件 是 计算 机 应 用 的 
重要 组 成 部 分 ， 软 件 的 安全 性 一 直 是 软件 开发 中 的 一 个 关键 问题 ， 开 发 安全 性 高 的 软件 是 软 
件 开发 人 员 追 求 的 目标 。 开 发 人 员 如 何在 开发 的 全 过 程 中 从 根本 上 提高 软件 的 安全 性 ， 是 每 
个 软件 人 员 ( 包 括 系统 分 析 人 员 、 项 目 经 理 、 编 码 人 员 、 测 试 人 员 等 ) 必 须 思考 的 问题 。 本 节 
将 介绍 软件 安全 相关 的 基本 概念 。 


1.1.1 软件 安全 概述 


20 世纪 80 年 代 初 ，IEEE 给 出 了 软件 的 严格 定义 : 计算 机 程序 、 方 法 、 规 则 和 相关 的 文 
档 资料 以 及 在 计算 机 上 运行 时 所 需 的 数据 。 软 件 由 三 个 部 分 组 成 ， 分 别 是 程序 、 数 据 和 文档 
资料 ， 通 过 公式 展示 为 : 软件 -程序 + 数据 + 文档 资料 。 其 中 ， 程 序 是 完成 特定 功能 和 满足 性 
能 要 求 的 指令 序列 ， 数 据 是 程序 运行 的 基础 和 操作 的 对 象 ; 文档 资料 是 与 程序 开发 、 维 护 和 
使 用 有 关 的 图 文 资料 。 

对 软件 的 类 型 进行 划分 ， 根 据 不 同类 型 的 工程 对 象 采用 不 同 的 安全 方法 很 有 价值 ， 因 此 
有 必要 从 不 同 角度 讨论 计算 机 软件 的 分 类 情况 。 

按照 功能 进行 划分 ， 软 件 可 以 分 为 系统 软件 、 应 用 软件 和 支撑 软件 三 个 类 别 。 


*2。 软件 安全 测试 及 工具 应 用 


系统 软件 是 计算 机 正常 工作 的 不 可 或 缺 的 组 成 部 分 ， 它 和 计算 机 的 硬件 紧密 配合 ， 控 制 
并 且 协 调 计算 机 系统 中 的 各 个 组 件 、 相 关 的 软件 和 数据 资源 高 效 地 工作 。 常 见 系统 软件 包括 
操作 系统 、 设 备 驱动 程序 以 及 通信 处 理 程序 等 。 

应 用 软件 是 指 在 专 一 的 领域 内 开发 ， 为 某 个 特定 目标 服务 的 软件 。 目 前 ， 人 们 在 工作 和 
生活 中 严重 依赖 计算 机 ， 很 多 应 用 领域 都 需要 专门 的 软件 支持 ， 在 种 类 繁多 的 应 用 软件 中 
商业 数据 处 理 软件 所 占 的 比例 最 大 。 此 外 ， 还 有 系统 仿真 软件 、 工 程 与 科学 计算 软件 、 人 工 
智能 软件 以 及 各 类 办 公 自 动 化 软件 和 信息 处 理 软件 等 。 

支撑 软件 是 协助 用 户 开发 软件 的 辅助 性 工具 ， 包 括 帮 助 技术 人 员 进 行 开发 的 工具 和 帮 
助 管理 人 员 控制 开发 进度 的 工具 ， 如 需求 原型 制作 工具 、 设 计 工 具 、 编 码 工具 和 软件 测试 
工具 等 。 

按照 软件 的 规模 进行 划分 ， 可 分 为 微型 、 小 型 、 中 型 、 大 型 、 极 大 型 6 种。 其 中 ， 微 型 
是 指 参加 人 员 数 目 为 1 人 , 研制 期 限 为 1 至 4 周 , 产品 的 规模 ， 即 源 程序 行 数 大 致 为 500 行 。 
小 型 是 指 参加 人 员 数 目 为 1 人 , 研制 期 限 为 1 至 6 个 月 , 产品 的 源 程序 行 数 为 1000 行 一 2000 
行 。 中 型 是 指 参加 人 人 员 数 目 为 2~5 人 ,研制 期 限 为 1 一 2 年 , 产品 的 源 程序 行 数 为 5000 行 ~ 
50 000 行 。 大 型 是 指 参 加 人 人员 数 目 为 5~25 人 ， 研 制 期 限 为 2 一 3 年 ， 产 品 的 源 程序 行 数 为 5 
万 行 10 万 行 。 大 型 是 指 参加 人 员 数 目 为 100 一 1000 人 ， 研 制 期 限 为 4 一 5 年 ， 产 品 的 源 程 序 
行 数 为 100 万 行 以 上 。 极 大 型 是 指 参加 人 员 数 目 为 2000 一 5000 人 ,研制 期 限 为 S 一 10 年 , 产 
品 的 源 程序 行 数 为 1000 万 行 以 上 。 

按照 软件 的 工作 方式 ， 软 件 可 分 为 实时 处 理 软件 、 交 互 软件 、 批 处 理 软件 和 分 时 软件 。 

按照 软件 的 服务 对 象 范围 ， 软 件 可 以 分 为 项 目 定制 软件 和 面向 市 场 的 产品 软件 。 其 中 项 
目 定制 软件 是 指 受到 某 个 特定 客户 委托 , 由 软件 内 容 提 供 机 构 在 合同 约束 下 开发 出 来 的 软件 。 
产品 软件 是 面向 市 场 需求 ， 由 软件 内 容 提 供 机 构 开 发 出 来 后 直接 提供 给 市 场 ， 或 是 为 千 百 个 
用 户 服务 的 软件 ， 例 如 办 公 处 理 软 件 、 财 务 处 理 软件 和 一 些 常用 工具 软件 等 。 

根据 ISO 8402 中 的 定义 ， 安 全 性 指 “ 使 伤害 或 损害 的 风险 限制 在 可 接受 的 水 平 内 ”。 因 
此 ， 软 件 安全 性 是 软件 的 一 种 内 在 属性 。 

软件 安全 (Software Security) 就 是 使 软件 在 受到 恶意 攻击 的 情形 下 依然 能 够 继续 正确 运行 
及 确保 软件 在 授权 范围 内 被 合法 使 用 的 思想 ， 即 采用 系统 化 、 规 范 化 和 数量 化 的 方法 来 指导 
构建 安全 的 软件 。 软 件 安全 是 一 个 较 新 的 专业 领域 , 直到 2001 年 才 出 现 了 软件 安全 方面 的 学 
术 资 料 ， 这 反映 出 研发 人 员 、 软 件 架构 人 员 、 计 算 机 科学 家 开始 系统 地 考虑 到 软件 安全 的 构 
建 。 但 是 ， 软 件 安全 方面 的 实践 准则 尚未 得 到 广泛 推广 和 普遍 采用 。 

从 风险 分 析 的 角度 看 ， 软 件 安全 是 关于 如 何 理解 软件 所 引起 的 安全 风险 以 及 如 何 管理 这 
些 风险 的 学 科 。 目 前 ，“ 使 安全 成 为 软件 开发 的 必需 部 分 ”已 经 成 为 行业 界 和 政府 机 构 认 同 
的 观点 。 美 国 国土 安全 部 的 国家 网 络 安全 处 专门 建立 了 BSI 网 站 , 网 址 为 http://buildsecurityin. 
us-cert.gov/protal。 这 个 网 站 由 美国 国家 标准 技术 研究 所 、 国 际 标准 化 组 织 和 电气 电子 工程 师 
协会 共同 维护 。 

软件 安全 工程 化 的 三 个 支柱 是 风险 管理 、 软 件 安全 切入 点 和 安全 知识 。 风 险 管理 是 一 种 
贯穿 软件 开发 生命 周期 的 战略 性 方法 ;软件 安全 切入 点 是 在 软件 安全 开发 生命 周期 中 保障 软 
件 安全 的 一 套 最 佳 实际 操作 方法 ， 这 其 中 包括 代码 的 审核 、 体 系 结构 风险 分 析 、 基 于 风险 的 
安全 测试 、 渗 透 测试 、 滥 用 案例 、 安 全 需求 和 安全 操作 ;安全 知识 是 指 软件 安全 知识 体系 中 
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的 描述 性 知识 、 诊 断 性 知识 和 历史 性 知识 。 

软件 缺陷 是 软件 安全 的 关键 问题 。 软件 缺陷 包括 软件 实现 中 的 错误 异常 , 如 缓冲 区 溢出 ; 
还 包括 设计 中 的 错误 异常 ， 如 不 成 熟 的 错误 处 理 。 随 着 软件 技术 的 不 断 发 展 ， 软 件 系统 日 趋 
复杂 ， 潜 在 的 安全 威胁 不 断 增多 ， 软 件 中 的 安全 漏洞 正在 逐年 增长 。 基 于 互联 网 的 应 用 软件 
由 于 其 特点 成 为 风险 最 高 的 软件 。 卡 巴 斯 基 病毒 实验 室 给 出 了 恶意 软件 预报 : 软件 攻击 方式 
会 从 Web 转移 到 文件 共享 网 络 。 软 件 攻击 演变 过 程 中 经 历 了 Email 攻击 、 互 联网 攻击 、Web 
站 点 攻击 、Torrent 站 点 分 发 恶意 文件 攻击 。 据 统计 ， 当 前 互联 网 上 攻击 次 数 最 多 的 恶意 程序 
是 以 下 三 种 程序 ， 分 别 是 : HEUR:Trojan.ScriptIfamer， 攻 击 次 数 为 9858 304， 占 攻击 的 
13.39% ;Trojan:Downloader JS.Gumblarx ， 攻 击 次 数 为 2940 448 ， 占 攻击 的 3.99%6; 
not-a-virus:-AdWare Win32.Boran.z， 攻 击 次 数 为 2 875 110， 占 攻击 的 3.91%。 

受害 机 器 的 本 地 感染 数量 是 特别 重要 的 数据 ， 因 为 它 提供 了 对 威胁 数量 的 统计 ， 这 些 数 
据 的 统计 是 通过 带菌 体 (而 不 是 通过 Web、Email、 网 络 端口 ) 成 功 渗透 到 受害 机 器 的 威胁 数量 。 
卡巴 斯 基 病 毒 实验 室 报 告 了 以 下 几 种 最 常见 的 本 地 感染 威胁 : HEUR:Trojan. Win32.Generic， 
检测 出 该 对 象 的 计算 机 数量 为 3 050 753; Net-Wonm.Win32. Kido.ih， 检 测 出 该 对 象 的 计算 机 
数量 为 2924 062; Virus.Win32.Sality.aa， 检 测 出 该 对 象 的 计算 机 数量 为 1 407 976。 

软件 安全 漏洞 是 最 危险 的 安全 问题 之 一 ， 软 件 破坏 者 利用 漏洞 可 以 绕 开 保护 机 制 对 计算 
机 发 起 攻击 。Kido 病毒 是 传播 最 广泛 的 病毒 之 一 ， 它 由 Windows 操作 系统 的 一 个 关键 漏洞 
引发 。 浏 览 器 是 最 常见 的 攻击 对 象 ， 虽 然 浏览 器 本 身 可 能 没有 漏洞 ， 但 如 果 浏 览 器 的 插件 或 
应 用 中 存在 漏洞 ， 计 算 机 仍然 可 能 被 感染 。 卡 巴 斯 基 病毒 实验 室 报告 了 以 下 最 常见 的 漏洞 ， 
分 别 是 : Apple QuickTime Multiple Vulnerabilities， 该 漏洞 文件 和 应 用 程序 的 数量 为 165 658 505， 
占 计 算 机 所 有 漏洞 文件 程序 的 8.37%; Microsoft XML Core Services Multiple Vulnerabilities， 
该 漏洞 文件 和 应 用 程序 数量 为 8 906 277， 占 计算 机 所 有 漏洞 文件 程序 的 1.93%，Adobe Flash 
Player Multiple Vulnerabilities， 该 漏洞 文件 和 应 用 程序 数量 为 7728 963， 占 计算 机 所 有 漏洞 
文件 程序 的 1.67%。 

根据 著名 咨询 公司 Gartemer Rearch 的 报告 , 在 对 企业 网 络 的 攻击 中 , 超过 七 成 来 自 应 用 
层 ， 而 不 是 网 络 层 或 系统 层 。 软 件 和 应 用 层 的 漏洞 、 入 侵 和 入 侵 尝 试 的 数目 在 各 种 环境 中 都 
在 增加 ， 而 基于 互联 网 的 软件 漏洞 很 难 识别 与 检测 。 从 HTTP 请 求 来 看 ， 当 发 起 的 攻击 利用 
了 攻击 包 和 系统 响应 来 分 析 SQL 攻击 、 认 证 蛮 力 攻击 、 目 录 游 走 攻击 、Cookie 欺骗 攻击 、 跨 
站 点 脚本 (Cross-Site Scripting) 攻 击 和 逻辑 缺陷 攻击 等 攻击 方式 时 ， 它 们 和 正常 的 HTTP 请 求 
几乎 没有 差别 。 

很 多 企业 和 组 织 都 会 定期 发 布 安全 报告 来 总 结 一 定时 期 内 的 威胁 信息 和 趋势 。 以 国内 的 
中 国信 息 安全 评测 中 心 发 布 的 漏洞 通报 为 例 ， 基 本 内 容 主要 包括 漏洞 的 数量 和 增长 率 方面 的 
统计 。 根 据 漏洞 的 影响 范围 、 利 用 方式 和 攻击 后 果 等 属性 ， 对 漏洞 危害 进行 量化 评分 ， 并 将 
漏洞 分 为 4 个 等 级 ， 即 危急 等 级 (评分 为 10 分 )、 高 危 等 级 (评分 为 7 至 9.9 分 )、 中 和 危 等 级 ( 评 
分 为 4 至 6.9 分 ) 和 低 危 等 级 (评分 为 0 至 3.9 分 )。 报告 中 会 列 出 不 同等 级 的 漏洞 数量 , 还 会 列 
出 对 我 国 使 用 的 主流 操作 系统 和 常用 应 用 程序 影响 比较 严重 的 高 危 漏 洞 。 根 据 漏洞 的 类 型 来 
划分 ， 数 量 最 多 的 漏洞 来 自 跨 站 脚本 漏洞 ， 接 下 来 依次 是 SQL 注入 、 缓 冲 区 溢出 、 权 限 管 
理 与 控制 访问 、 设 计 错 误 、 代 码 注入 、 资 源 管理 错误 、 信 息 泄露 、 数 字 错 误 和 目录 遍历 。 


“4。 软件 安全 测试 及 工具 应 用 


通常 修补 漏洞 的 方式 有 两 种 ， 一 种 是 安装 相应 的 补丁 程序 修补 漏洞 ， 另 一 种 是 通过 软件 版 本 
的 更 新 来 修补 漏洞 。 


1.1.2 ”软件 安全 知识 体系 


软件 安全 的 知识 体系 可 分 为 三 大 类 : 描述 性 知识 、 诊 断 性 知识 和 历史 知识 。 这 三 类 共 包 
括 7 种 知识 ， 即 原则 、 方 针 、 规 则 、 弱 点 、 攻 击 程序 、 攻 击 模式 和 历史 风险 。 攻 击 程序 关系 
到 攻击 模式 、 历 史 风 险 和 弱点 ， 可 根据 原则 制定 方针 和 规则 。 
描述 性 知识 包括 原则 、 方 针 和 规则 。 原 则 和 方针 是 从 方法 论 的 高 度 (高 层 体系 结构 角度 ) 
进行 定义 和 描述 ， 规 则 是 从 程序 代码 的 角度 针对 性 地 进行 抽象 和 统一 。 描 述 性 知识 类 提供 了 
一 些 建议 ， 说 明 需 要 执行 的 内 容 和 在 构建 安全 软件 时 应 该 避免 哪些 方面 。 

诊断 性 知识 包括 攻击 模式 、 攻 击 程序 和 弱点 。 诊 断 性 知识 不 仅 包括 关于 实践 的 描述 性 陈 
述 ， 其 更 重要 的 目标 是 帮助 操作 人 员 识 别 和 处 理 导 致 安全 攻击 的 常见 问题 。 攻 击 模式 采用 较 
抽象 的 形式 来 描述 常见 的 攻击 程序 ， 这 种 形式 能 应 用 于 跨越 多 个 系统 的 情形 ， 即 在 多 个 系统 
中 均 存在 的 攻击 模式 ， 该 知识 可 被 安全 分 析 人 员 所 利用 ， 如 基于 滥用 案例 的 可 靠 性 检测 等 。 
攻击 程序 描述 了 弱点 实例 如 何 用 来 对 特定 系统 造成 特别 的 安全 人 危害。 弱点 知识 是 对 真实 系统 
中 出 现 过 并 且 已 经 报告 的 软件 弱点 的 描述 ， 较 著名 的 弱点 和 攻击 知识 库 包括 CVE(Common 
Vulnerabilities and Exposures) 知 识 库 、 公 共 攻 击 模式 列举 和 分 类 (Common Attack Pattem 
Enumeration and Classification) 知 识 库 。 

历史 知识 类 包括 历史 风险 ， 有 些 情况 下 也 包括 弱点 的 历史 数据 库 。 这 类 知识 还 包括 对 在 
实际 软件 开发 中 所 发 现 的 特定 问题 的 详细 描述 ， 以 及 该 问题 产生 的 影响 。 

描述 性 知识 从 战略 角度 进行 描述 ， 主 要 包括 长 期 积累 和 提炼 出 来 相对 抽象 的 知识 。 诊 断 
性 知识 从 战术 角度 进行 描述 ， 可 能 与 具体 系统 相关 ， 攻 击 模式 从 攻击 角度 描述 ， 弱 点 从 防御 
角度 描述 。 历 史 知 识 库 是 知识 的 历史 积累 和 前 后 关联 的 总 结 。 


1.1.3 ”软件 安全 的 相关 领域 


软件 安全 不 是 一 门 孤立 的 学 科 ， 有 一 些 与 其 紧密 联系 的 相关 领域 。 其 中 软件 工程 是 软件 
安全 相关 领域 中 最 重要 的 部 分 。 


1. 软件 工程 


软件 工程 是 一 门 研究 如 何 使 用 系统 化 、 规 范 化、 数量 化 等 工程 原则 和 方法 进行 软件 开发 
和 维护 的 学 科 。 软 件 工程 采用 工程 的 概念 、 原 理 、 技 术 和 方法 来 开发 维护 软件 ， 把 成 熟 的 管 
理 方法 和 先进 的 软件 开发 技术 结合 起 来 ,应 用 到 软件 开发 和 维护 过 程 中 来 解决 软件 危机 问题 ， 
生产 出 无 故障 的 、 及 时 交付 的 、 不 超出 预算 的 和 满足 用 户 需 求 的 软件 。1993 年 ，IEEE 给 出 
了 软件 工程 的 定义 ， 软 件 工程 师 将 系统 化 的 、 规 范 的 、 可 度量 的 方法 应 用 于 软件 的 开发 、 运 
行 和 维护 过 程 ， 即 将 工程 化 应 用 于 软件 中 方法 的 研究 。 

软件 工程 是 一 种 层次 化 技术 ， 它 的 最 底层 是 质量 保证 层 。 由 最 底层 至 最 上 层 分 别 为 过 程 
层 、 方 法 层 和 工具 层 。 最 后 这 三 个 层次 也 称 为 软件 工程 的 三 要 素 。 与 任何 工程 方法 一 样 ， 软 
件 工程 以 质量 为 焦点 ， 以 全 面 质量 管理 及 现代 管理 理念 为 软件 工程 的 基础 。 全 面 的 质量 管理 
和 质量 需求 是 推动 软件 开发 过 程 不 断 改进 的 动力 ， 这 种 改进 的 动力 使 得 更 成 熟 的 软件 工程 方 
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法 不 断 涌现 。 

软件 工程 的 基础 是 过 程 层 。 软 件 工程 过 程 是 为 获得 软件 产品 ， 软 件 研发 人 员 在 软件 工具 
支持 下 完成 的 一 系列 软件 工程 活动 。 过 程 层 将 方法 和 工具 结合 ， 定 义 一 组 关键 过 程 区 域 的 框 
架 ， 同 时 定义 了 方法 的 使 用 顺序 、 必 要 的 文档 和 管理 开发 各 个 阶段 完成 情况 的 资料 。 方 法 层 
提供 了 各 种 软件 开发 方法 。 方 法 覆盖 了 一 系列 任务 ， 包 括 项 目 计划 与 估算 、 需 求 与 设计 、 程 
序 与 测试 和 运 维 方法 等 。 工 具 层 为 软件 工程 方法 提供 了 自动 的 或 半自动 的 软件 支撑 环境 。 使 
用 软件 工程 工具 可 以 有 效 地 改善 软件 开发 过 程 ， 提 高 软件 开发 效率 ， 降 低 开发 成 本 。 目 前 已 
有 许多 软件 工具 ， 这 些 工具 集成 起 来 成 为 计算 机 辅助 软件 工程 的 软件 开发 支撑 系统 。 该 支撑 
系统 将 各 种 软件 工具 、 开 发 机 器 和 用 于 存放 开发 过 程 信息 的 工程 数据 库 组 合 起 来 ， 形 成 软件 
工程 环境 。 

软件 工程 是 一 门 内 容 广泛 的 学 科 , 所 依据 的 基础 理论 极其 丰富 , 包括 数学 、 计 算 机 科学 、 
经 济 学 、 工 程 学 、 管 理学 和 心理 学 等 其 他 学 科 ， 其 研究 的 内 容 包 括 软件 开发 技术 和 软件 管理 
技术 。 软 件 开发 技术 又 包括 软件 开发 方法 学 、 软 件 工 具 和 软件 工程 环境 。 软 件 管理 技术 包括 
软件 度量 、 项 目 估 算 、 进 度 控制 、 人 员 组 织 、 配 置 管理 和 项 目 计划 。 


2. 软件 保障 

根据 美国 国家 标准 与 技术 研究 院 的 定义 : 软件 保障 (Software Assurance，SA) 是 确保 软件 
过 程 和 产品 符合 需求 、 标 准 和 规程 的 有 计划 的 和 系统 的 行动 集合 。 软 件 保障 可 以 帮助 达到 两 
个 目标 ， 可 信 性 ， 即 没有 可 利用 的 弱点 存在 ， 无 论 是 来 自 敌意 的 还 是 无 意 的 企图 : 执行 可 预 
见 性 ， 可 证 明 信 任 软件 在 执行 时 依照 所 希望 的 那样 进行 工作 。 这 些 行为 包括 需求 分 析 、 测试、 
验证 以 及 报告 。 软 件 保障 涉及 两 个 软件 届 性 ， 一 个 属性 是 质量 ， 也 就 是 说 软件 保障 是 软件 质 
量 保障 的 简短 形式 ， 另 一 个 属性 是 可 靠 性 ， 特 别 是 可 靠 性 中 最 重要 的 内 容 ， 即 安全 。 

3. 软件 质量 


软件 质量 是 贯穿 软件 生存 期 的 一 个 极 重要 的 元 素 ， 是 软件 开发 过 程 中 所 使 用 的 各 种 开发 
技术 和 验证 方法 的 最 终 体现 。 因 此 ， 在 软件 生存 期 中 要 特别 重视 软件 质量 的 保证 ， 以 生成 高 
质量 的 软件 产品 。IEEE 给 出 了 软件 质量 的 明确 定义 : 系统 、 部 件 或 过 程 满足 明确 需求 。 也 就 
是 说 ， 为 满足 软件 的 各 项 精确 定义 的 功能 和 性 能 需求 ， 遵 守 文档 化 的 开发 标准 ， 需 要 相应 地 
给 出 或 设计 一 些 质量 特性 及 其 组 合 。 如 果 这 些 质 量 特性 及 其 组 合 都 能 在 产品 中 得 到 满足 ， 则 
这 个 软件 产品 就 是 高 质量 的 。 软 件 质量 反映 了 以 下 三 方面 的 问题 ， 软 件 需 求 是 度量 软件 质量 
的 基础 ， 不 符合 需求 的 软件 就 不 具备 质量 ; 在 各 种 标准 中 定义 了 一 些 开 发 准则 ， 用 来 指导 软 
件 人 员 用 工程 化 的 方法 来 开发 软件 ， 如 果 不 遵 守 这 些 开发 准则 ， 软 件 质量 就 得 不 到 保证 ; 开 
发 准则 中 会 有 一 些 隐 含 的 需求 没有 明确 地 提出 来 ， 例 如 ， 软 件 应 具备 良好 的 可 维护 性 ， 如 果 
软件 只 满足 那些 明确 定义 了 的 需求 而 没有 满足 这 些 隐 含 的 需求 ， 也 不 能 保证 软件 质量 。 
以 下 基本 概念 从 不 同 的 方面 体现 了 软件 的 质量 : 
e 软件 可 靠 性 : 在 规定 条 件 及 时 间 内 ， 软 件 不 引起 系统 失效 的 概率 。 它 与 软件 中 的 缺 
陷 、 系 统 输 入 和 系统 使 用 有 关 
。 可 维护 性 ， 产 品 在 规定 的 条 件 和 时 间 内 ， 按 规定 的 程序 和 方法 进行 维修 ， 保 持 或 恢 
复 到 规定 的 状态 的 能 力 ; 


a 软件 安全 测试 及 工具 应 用 


可 用 性 : 产品 在 任意 时 刻 需 要 和 开始 执行 任务 时 ， 处 于 可 工作 或 可 使 用 状态 的 程度 ; 

安全 性 : 将 伤害 或 损坏 的 风险 限制 在 可 接受 水 平 内 的 能 

机 密 性 ， 避 免 示 经 许可 泄漏 信息 的 能 力 ; 

完整 性 ， 避 免 不 适当 地 执行 更 改 的 能 

经 济 性 : 通常 用 生命 周期 费用 (Life Cycle Cosb 表 示 软 件 开发 过 程 中 的 成 本 开销 。 它 可 

以 定义 为 : 在 产品 的 生命 周期 内 ， 在 产品 设计 、 研 究 和 研制 、 投 资 、 使 用 、 维 修 及 

保障 中 发 生 的 或 可 能 发 生 的 一 切 直接 的 、 间 接 的 、 派 生 的 或 非 派生 的 费用 的 总 和 。 
软件 质量 的 模型 包含 三 层 : 高 层 软件 质量 需求 评价 准则 包括 了 软件 的 正确 性 、 可 靠 性 、 

可 维护 性 、 效 率 、 安 全 性 、 灵 活性 、 互 连 性 和 可 使 用 性 ， 中 层 软件 质量 设计 评价 准则 包括 了 

可 追踪 性 、 完 备 性 、 一 致 性 、 精 确 性 、 简 单 性 、 模 块 独立 性 、 通 用 性 、 可 扩展 性 、 自 检 性 、 

执行 效率 、 存 储 效率 、 存 取 审 查 、 操 作 性 、 通 信 性 、 通 信 共 享 性 和 数据 共享 性 ， 低 层 软 件 质 

量度 量 评价 标准 由 使 用 单位 自行 制定 。 


4. 软件 可 靠 性 


软件 可 靠 性 工程 是 预计 、 测 量 和 管理 以 软件 为 基础 的 系统 的 可 靠 性 ， 最 大 限度 地 满足 用 
户 要 求 的 应 用 科学 。 从 软件 特性 和 用 户 需 求 分 析 开 始 ， 软 件 可 靠 性 工程 (Software Reliability 
Engineering) 贯 穿 于 软件 生命 周期 的 全 过 程 ， 主 要 包括 以 下 三 方面 的 内 容 : 

e 为 满足 用 户 对 软件 可 靠 性 的 要 求 ， 必 须 给 出 关于 软件 可 靠 性 的 规范 说 明 。 在 做 软件 

可 靠 性 设计 时 ， 甚 至 要 在 其 他 软件 质量 指标 间 做 出 某 些 权衡 ， 如 可 适当 增加 开发 成 
本 、 延 长 测试 时 间 等 ， 以 求 得 更 高 的 软件 可 靠 性 。 

。 软件 可 靠 性 的 量 测 与 分 析 技 术 。 

。 软件 工程 中 保证 软件 开发 的 方法 和 技术 。 

软件 可 靠 性 工程 的 研究 范围 主要 是 : 软件 可 靠 性 定量 评测 ， 软 件 可 靠 性 的 设计 与 管 
软件 可 靠 性 保证 技术 。 

软件 可 靠 性 模型 是 指 为 预计 或 估算 软件 的 可 靠 性 所 建立 的 结构 和 数学 模型 。 建 立 可 靠 性 
模型 是 为 将 复杂 系统 的 可 靠 性 逐 级 分 解 为 简单 系统 的 可 靠 性 ， 以 便 定 量 预计 、 分 配 、 估 算 和 
评价 复杂 系统 的 可 靠 性 。 一 般 软件 可 靠 性 模型 分 两 大 类 : 软件 可 靠 性 结构 模型 和 软件 可 靠 性 
预计 模型 。 

软件 可 靠 性 结构 模型 : 依据 系统 结构 逻辑 关系 ， 对 系统 的 可 靠 性 特征 及 其 发 展 变化 规律 
做 出 可 靠 性 评价 的 模型 。 此 模型 既 可 用 于 软件 可 靠 性 综合 评价 ， 又 可 用 于 软件 可 靠 性 分 解 。 

软件 可 靠 性 预计 模型 : 用 来 描述 软件 失效 与 软件 缺陷 的 关系 ， 借 助 这 类 模型 ， 可 对 软件 
的 可 靠 性 特征 做 出 定量 的 预计 和 评估 。 依 据 软件 缺陷 与 运行 剖面 数据 ， 利 用 统计 学 原理 建立 
二 者 之 间 的 数学 关系 ， 获 取 开 发 过 程 中 可 靠 性 变化 、 软 件 在 预定 工作 时 间 的 可 靠 度 、 软 件 在 
任意 时 刻 发 送 失效 的 平均 值 ， 以 及 软件 在 规定 时 间 间 隔 内 发 生 失 效 次 数 的 平均 值 等 数据 。 这 
里 评估 与 预计 有 区 别 ， 评 估 是 对 现 有 情况 进行 评价 ， 预 计 是 依据 现 有 情况 及 评估 结果 ， 对 未 
来 可 能 发 生 的 情况 进行 科学 推断 。 

软件 可 靠 性 通常 包括 软件 安全 性 的 要 求 ， 但 软件 可 靠 性 不 能 完全 取代 软件 安全 性 ， 因 为 
安全 性 要 求 包括 在 非 正常 条 件 下 不 发 生 安全 事故 的 能 力 。 


第 1 章 软件 安全 基础 人 


5. 软件 容错 性 
软件 容错 性 是 指 软件 运行 时 ， 能 对 非 正常 因素 引起 的 运行 错误 给 出 适当 的 处 理 或 信息 提 
示 ， 使 软件 正常 结束 运行 。 容 错 技术 是 软件 可 靠 性 技术 中 一 个 非常 重要 的 方面 。 容 错 技术 是 
对 某 些 无 法 避 开 的 差错 ， 使 其 影响 减 至 最 小 的 技术 。 软 件 容 销 技术 提供 足够 的 宛 余 信息 与 算 
法 程序 ， 使 系统 在 实际 运行 中 能 允许 、 预 见 、 判 别 、 纠 正 运 行 中 可 能 出 现 的 错误 ,恢复 和 保 
持 系统 的 正常 运行 。 宛 余 包括 结构 宛 余 、 信 息 元 余 和 时 间 宛 余 。 
容错 技术 包括 以 下 儿 个 主要 方面 
。 故障 检测 技术 ， 故 障 检测 技术 是 在 软件 中 的 故障 暴露 时 ， 能 对 由 此 引起 的 故障 产生 
响应 的 过 程 。 在 进行 故障 检测 时 ， 需 要 用 到 一 个 重要 概念 软件 断言 。 软 件 在 宿主 
系统 中 运行 时 ， 使 其 中 的 诊断 程序 能 对 其 进程 或 功能 是 否 正确 做 出 判断 的 条 件 称 为 
软件 断言 。 
。 故障 恢复 技术 软件 执行 过 程 中 不 需要 对 每 一 步 者 进行 检测 。 通常 在 软件 执行 过 程 
中 设 害 若干 检测 点 ， 而 恢复 点 是 执行 过 程 中 预 宣 的 能 保存 和 设 定 的 用 于 恢复 的 起 始 
状态 点 。 故 障 恢复 一 般 有 两 种 策略 ， 即 前 向 恢复 和 后 向 恢复 。 
。 破坏 估计 : 为 检测 到 的 故障 提供 一 种 有 效 恢 复 手段 以 使 系统 恢复 到 正常 工作 状态 或 
某 种 预 置 的 状态 是 容错 的 主要 策略 。 但 是 ， 完 整 的 容错 技术 除了 检测 和 恢复 外 ， 如 
何 对 故障 引起 的 破坏 做 出 正确 的 估计 ， 隔 离 故障 ， 以 及 如 何在 恢复 后 提供 继续 服务 
等 技术 不 可 缺少 。 
。 故障 隔离 技术 。 主 动 地 采取 措施 ， 防 上 上 故障 破 坏 性 蔓延 的 技术 。 采 用 了 故障 陋 离 技 
术 的 系统 ， 由 于 抑制 了 故障 的 扩散 ， 有 利于 容错 的 实现 。 
。 继续 服务 。 系 统 从 族 障 中 恢复 到 故障 前 某 一 状态 或 世 先 设计 好 的 其 他 状态 ， 经 历 恢 
复 后 得 到 的 服务 能 够 被 需求 规范 接受 。 
6. 软件 应 用 安全 


应 用 安全 关注 应 用 系统 的 安全 性 或 网 络 应 用 层 的 安全 性 ， 包括 如 何 保护 软件 以 及 运行 的 
系统 ， 使 用 的 关键 方法 包括 沙 盒 (Sand Boxing Code) 防 御 恶 意 代 码 的 代码 混淆 、 监 控 程序 运行 
时 状态 (例如 输入 操作 的 监控 )、 强 制 使 用 安全 策略 等 。 软 件 安全 关注 如 何 构建 安全 的 软件 ， 
包括 如 何 设计 安全 的 软件 、 如 何 确认 软件 的 安全 性 。 

网 络 应 用 层 的 应 用 安全 是 网 络 安全 的 自然 延伸 , 通过 一 些 常见 方法 (如 打 补 丁 、 输入 过 滤 
等 ) 提 供 一 种 反应 性 (reactive) 的 安全 。 简 言 之 , 应 用 安全 主要 针对 发 现 和 修改 已 知 的 安全 问题 ， 
而 软件 安全 是 为 了 安全 目标 而 设计 、 构 建 、 测 试 软件 的 过 程 。 软 件 安全 实践 者 试图 构建 积极 
性 (proactive) 的 能 抵御 各 种 攻击 的 安全 软件 。 虽 然 在 应 用 安全 中 ， 通 过 观察 到 达 80 端口 的 
HTTP 流量 来 停止 缓冲 区 溢出 有 实际 价值 ， 然 而 通过 软件 安全 的 方法 ， 设 计 或 修改 代码 来 完 
全 避免 缓冲 区 溢出 则 更 加 完美 。 

根据 应 用 系统 的 不 同 ， 可 将 应 用 安全 进一步 细 分 ， 例 如 数据 库 安 全 、Web 安全 、 网 络 游 
戏 安全 和 电子 邮件 安全 等 。 与 应 用 安全 处 于 同一 层次 的 安全 性 问题 包括 : 操作 系统 安全 ， 主 
要 研究 操作 系统 软件 的 安全 性 ; 网络 安 全 ， 研 究 网 络 系统 的 安全 性 。 


软件 安全 测试 及 工具 应 用 


软件 安全 常用 名 称 及 定义 


内 存 : 计算 机 系统 上 被 分 配 用 于 暂时 存放 CPU 中 的 运算 数据 ， 以 及 与 硬盘 等 外 部 存 
储 器 交换 的 数据 。 

寄存 器 :处理 器 用 于 暂 存 信息 的 地 方 。 所 有 处 理 器 都 在 寄存 器 上 完成 操作 。 

X86: X86 是 一 组 通常 与 Intel 相关 的 计算 机 架构 。X86 架构 是 小 字 节 序 系统 。 

API: 应 用 编程 接口 是 包含 特殊 函数 功能 的 程序 组 件 ， 这 些 函数 功能 可 供 程序 员 在 程 
序 中 使 用 。 
汇编 代码 : 汇编 语言 是 含有 一 些 简 单 操作 的 低级 程序 语言 。 对 汇编 代码 进行 汇编 将 
得 到 机 器 代码 。 在 C/C++ 代码 中 编写 内 联 汇编 程序 通常 会 产生 更 有 效 快 捷 的 应 用 程 
序 。 但 这 种 代码 很 难 维护 ， 可 读 性 不 好 ， 代 码 通 常 较 长 。 

大 字 节 序 ， 在 大 字 节 序 系统 中 ， 最 重要 的 位 的 字 节 首先 被 存储 。 可 扩充 处 理 器 架构 
使 用 了 大 字 节 序 架构 。 

小 字 节 序 ， 在 小 字 节 序 系统 中 ， 先 存储 不 重要 的 字 节 。X86 架构 使 用 了 小 字 节 序 架构 。 
缓冲 区 : 已 经 分 配 的 一 段 大 小 确定 的 内 存 空间 。 当 数据 在 两 个 运行 速度 或 作业 量 不 
同 的 设备 间 传 递 时 ， 通 常 使 用 缓冲 区 作为 数据 的 临时 存储 区 。 使 用 malloc 函数 在 堆 
上 分 配 动态 的 缓冲 区 ， 而 定义 静态 变量 时 ， 绥 冲 区 被 分 配 到 堆栈 上 。 

字 节 码 : 字 节 码 是 介 于 人 能 理解 的 高 级 语言 代码 和 计算 机 能 理解 的 机 器 代码 之 间 的 
程序 代码 。 对 于 诸如 Java 的 语言 (独立 于 平台 的 语言 )， 字 节 码 是 很 有 用 的 中 间 码 。 
每 个 系统 的 字 节 码 解释 程序 解释 字 节 码 的 速度 可 能 比 完全 解释 高 级 语言 更 快 。 
编译 器 : 将 程序 语言 转换 成 可 执行 的 机 器 码 的 工具 。 

解释 器 : 阅读 并 执行 程序 代码 的 工具 。 编 译 器 将 代码 编译 成 机 器 码 并 存储 。 不 同 于 
编译 器 ， 解 释 器 只 是 阅读 高 级 源 代 码 。 解 释 器 的 优势 是 独立 于 平台 ， 程 序 员 不 需要 
在 各 种 平台 上 编译 源 代 码 ， 每 个 含有 语言 解释 器 的 系统 都 可 以 运行 相同 的 程序 代码 。 
调试 器 : 调试 应 用 程序 时 的 运行 环境 或 是 类 似 于 运行 程序 的 虚拟 机 的 软件 工具 。 该 
软件 允许 技术 人 员 在 调试 应 用 程序 时 修改 问题 。 调 试 器 允许 终端 用 户 修改 环境 ， 如 
应 用 程序 依赖 的 内 存 。 

反 汇 编程 序 ， 将 机 器 代码 程序 转变 为 汇编 代码 的 软件 工具 。 流 行 的 反 汇编 程序 包括 
Objdump( 通 常 包含 在 UNIX/Linux 系统 中 ) 和 更 强大 的 工具 IDA Pro。 

DLL: 动态 链接 库 文件 都 有 .dll 扩展 名 。DLL 是 运行 在 Win32 系统 上 的 程序 组 件 , 包 
含 可 被 其 他 应 用 程序 使 用 的 功能 。 

堆 : 堆 是 应 用 程序 使 用 的 一 块 内存 区 域 ， 在 运行 应 用 程序 时 动态 分 配 。 静 态 变量 和 
使 用 malloc 函数 接口 分 配 的 数据 一 起 存储 在 堆栈 上 。 

机 器 语言 : 机 器 代码 是 可 被 处 理 器 理解 和 执行 的 代码 。 编 译 器 将 程序 员 用 高 级 语言 


设计 的 代码 转换 成 机 器 语言 。 
malloc: 调用 malloc 函数 将 在 堆 中 动态 分 配 n 个 字 节 。 许 多 漏洞 都 与 这 种 内 存 分 配方 
式 有 关 。 


Imemsetimemcpy: 调用 memset 函数 将 用 确定 字 节 的 特定 字符 来 填充 堆 缓冲 区 。 调 用 
memcpy 函数 将 堆 上 的 缓冲 区 内 的 确定 数目 的 字 节 复制 到 内 存 的 缓冲 区 内 。 这 个 功能 
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类 似 于 strcpy 函数 的 功能 。 

sandbox: 一 种 用 来 控制 代码 执行 的 结构 。 在 sandbox 中 执行 的 代码 不 会 影响 外 部 系 
统 。 用 户 需要 运行 可 变 代码 (如 Java appleb 时 ， 这 种 结构 对 安全 很 有 用 。 

shellcode: 传统 上 ，shellcode 是 执行 shell 的 代码 。 现 在 ，shellcode 有 了 更 广泛 的 含 
义 ， 通 常 定义 成 功 exploit 所 执行 的 代码 。 

软件 缺陷 : 不 是 所 有 的 缺陷 都 是 漏洞 ， 如 果 不 能 被 利用 ， 软 件 缺 陷 就 不 是 漏洞 。 软 
件 缺 陷 可 以 简单 到 软件 的 界面 组 件 没有 对 齐 等 。 

堆栈 : 堆栈 是 用 来 存储 临时 数据 的 内 存 空 间 ， 在 程序 运行 期 间 不 停 地 伸缩 。 一 般 的 
缓冲 区 溢出 就 发 生 在 内 存 的 堆栈 空间 。 当 缓冲 区 溢出 时 ， 溢 出 的 内 容 将 覆盖 被 保存 
的 返回 地 址 ， 从 而 使 恶意 用 户 获得 对 程序 的 控制 权 。 

虚拟 机 : 可 执行 代码 的 平台 的 模拟 软件 。 虚 拟 机 允许 代码 执行 ， 而 不 需要 针对 特定 
的 硬件 处 理 器 对 代码 进行 修改 。 这 使 得 代码 具有 可 移植 性 且 对 平台 具有 独立 性 。 
strcpy/stmcpy: strcpy 是 Libc 函数 ， 其 调用 经 常 被 误 用 ， 因 为 它 把 数据 从 一 个 缓冲 区 
复制 到 另 一 个 缓冲 区 而 没有 对 数据 大 小 进行 限制 。 如 果 源 缓冲 区 是 用 户 的 输入 ， 则 
可 能 发 生 缓冲 区 溢出 。stmcpy 也 是 Libc 函数 ， 该 函数 调用 相当 于 strcpy 调用 增加 了 
一 个 表示 数据 大 小 的 参数 ， 但是， 如果 数据 不 是 正确 地 动态 产生 或 没有 计算 尾部 的 
空 字符 ， 这 个 表示 数据 大 小 的 参数 也 会 算 错 。 

Exploit 典型 的 Exploit 是 一 个 程序 ， 通 过 使 用 该 程序 可 以 触发 一 个 软件 漏洞 并 为 攻 
击 者 所 利用 。 

0 day: 也 被 称 为 Zero Day。0 day 意味 着 一 个 漏洞 在 被 公开 发 布 前 或 当时 ， 关 于 它 的 
利用 (exploib 已 经 被 发 布 或 使 用 。 

缓冲 区 溢出 当 向 一 个 已 经 分 配 了 确定 存储 空间 的 缓冲 区 内 复制 多 于 该 缓冲 区 处 理 
能 力 的 数据 时 ， 将 发 生 缓冲 区 溢出 ， 溢 出 包括 堆 溢 出 和 堆栈 溢出 。 
格式 化 字符 串 缺陷 ， 格 式 化 字符 通常 在 参数 数量 可 变 的 函数 中 使 用 ， 例 如 printf、 
fprintf、syslog 等 函数 。 输 出 数据 时 ， 这 些 格式 化 字符 串 拥 有 相关 数据 并 进行 适当 的 
格式 化 。 一 些 情况 下 ， 如 果 格 式 化 字符 串 没有 被 明确 定义 ， 而 用 户 又 可 以 给 函数 输 
入 数据 ， 就 可 能 使 缓冲 区 出 现 格式 化 字符 串 缺 陷 。 

堆 腐烂 : 堆 溢 出 通常 被 称 为 堆 腐烂 缺陷 。 因 为 当 堆 栈 上 缓冲 区 溢出 时 ， 数 据 经 常 溢 
出 到 其 他 缓冲 区 ， 而 在 堆 上 ， 数 据 则 溢出 在 内 存 上 ， 不 管 这 些 内 存 是 否 重要 、 有 用 
还 是 可 利用 。 堆 腐烂 缺陷 是 发 生 在 内 存 上 堆 区 域 的 漏洞 ， 这 些 缺 陷 可 以 多 种 形式 出 
现 ， 包 括 malloc 函数 的 实现 、 静 态 缓冲 区 的 溢出 ， 和 堆栈 不 一 样 的 是 只 有 很 多 条 件 
都 满足 时 ， 才 可 以 利用 堆 腐烂 缺陷 。 

堆栈 溢出 ， 当 堆栈 空间 的 缓冲 区 过 载 时 ， 就 发 生 堆栈 溢出 。 发 生 堆栈 溢出 时 ， 返 加 
地 址 将 被 覆盖 ， 从 而 允许 任意 代码 的 运行 。 最 常见 的 可 利用 漏洞 就 是 堆栈 溢出 。 字 
符 串 函数 (如 strcpy 等 ) 是 在 源 代码 中 寻找 堆栈 溢出 的 出 发 点 。 

漏洞 : 漏洞 是 可 被 利用 的 潜在 缺陷 。 大 部 分 有 真实 意义 的 漏洞 只 是 特定 的 软件 缺陷 。 
但 逻辑 错误 也 是 漏洞 。 例 如 ， 缺 少 口令 或 允许 空 口令 都 是 漏洞 。 而 多 辑 错误 和 设计 
错误 并 不 是 软件 缺陷 。 

Rootkit: 可 用 来 获取 计算 机 的 未 经 授权 的 远程 访问 权限 并 发 动 其 他 攻击 ， 可 能 的 功 
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能 包括 监视 击 键 、 更 改 系统 日 志 、 创 建 后 门 、 发 起 攻击 等 。 自 身 隐 项 性 好 ， 具 有 操 
作 系 统 内 核 程序 的 能 力 ， 一 般 针对 专门 的 操作 系统 类 型 而 设计 。 

e 分 布 式 拒绝 服务 (DDoS，Distributed Denial of Service): DDoS 攻击 是 一 种 计算 机 自动 
执行 的 攻击 方式 ， 可 能 使 网 络 服务 (如 Web 服务 器 或 文件 服务 器 ) 超 载 或 停止， 其 目 
的 是 使 得 特定 服务 在 一 定时 间 内 不 可 用 。 


1.1.5 “软件 安全 调试 工具 


1. 反 汇 编 器 


反 汇编 器 可 将 二 进 制 代码 作为 输入 ， 生 成 包含 整个 或 部 分 程序 的 汇编 语言 代码 的 文本 文 
件 的 程序 。 汇 编 语言 代码 是 目标 代码 简单 的 文本 映射 ， 这 个 转换 过 程 较 简单 。 反 汇编 是 一 个 
与 处 理 器 相关 的 过 程 。IDA Pro 的 基本 特点 是 功能 全 面 ， 能 为 给 定 的 函数 生成 有 用 的 流程 图 。 
这 些 流程 图 基本 上 都 是 逻辑 图 形 ， 显 示 了 反 汇 编 后 的 代码 块 ， 并 以 一 种 可 视 化 的 方式 来 展现 
代码 中 的 每 个 条 件 跳 转 如 何 影响 函数 流程 。 每 个 盒子 代表 一 个 代码 片段 或 函数 流程 中 的 小 部 
分 。 盒 子 之 问 用 箭头 连接 ， 箭 头 按 是 和 否 满足 条 件 跳 转 来 显示 代码 流程 。 

2. 调试 器 

调试 器 可 以 让 软件 开发 人 员 在 程序 运行 时 观察 程序 的 运行 过 程 和 状态 。 它 的 两 个 基本 功 
E 是 设置 断 点 和 代码 跟踪 。 断 点 允许 用 户 选 择 程序 中 的 任何 位 置 的 某 个 函数 或 代码 行 ， 一旦 
程序 运行 到 这 一 行 ， 就 告诉 调试 器 暂停 程序 的 运行 。 当 程序 运行 到 断 点 时 ， 调 试 器 停止 程序 
的 运行 ， 并 显示 程序 的 当前 状态 。 调 试 器 还 允许 用 户 在 程序 运行 时 跟踪 执行 (也 叫 单 步 跟踪 )。 
跟踪 意味 着 程序 执行 一 条 代码 后 暂停 ， 允 许 用 户 观察 (甚至 改变 ) 程 序 状态 。 然 后 ， 可 继续 执 
行 下 一 条 代码 ， 并 不 断 重 复 这 个 过 程 。 

在 反 汇 编 模 式 下 使 用 调试 器 ， 能 够 单 步 执行 反 汇编 后 的 代码 ， 观 察 指令 运行 时 的 状态 ， 
如 寄存 器 状态 和 内 存 转 储 、 活 动 的 堆栈 区 。 调 试 器 可 分 为 两 种 : 用 户 模式 调试 器 和 内 核 模式 
调试 器 。 用 户 模式 调试 器 是 较 普通 的 调试 器 ， 通 常 是 软件 开发 人 员 使 用 ， 在 用 户 模式 下 作为 

般 的 应 用 程序 运行 ， 只 能 用 来 调试 用 户 模式 的 应 用 。 内 核 模式 调试 器 的 功能 要 强大 得 多 
它们 允许 无 限制 地 控制 目标 程序 ， 能 对 发 生 在 应 用 程序 代码 中 和 操作 系统 代码 中 的 事件 提供 
完整 的 视图 。 

用 户 模式 调试 器 将 自己 附着 在 另 一 个 进程 上 ， 并 完全 控制 该 进程 。 其 优点 是 便于 安装 和 
使 用 ， 但 其 缺点 是 仅 能 观察 一 个 进程 ， 且 仅 能 观察 这 个 进程 中 的 用 户 模式 代码 。 如 果 要 调试 
的 代码 有 内 核 模式 的 组 件 ， 则 无 法 跟踪 内 核 中 运行 的 操作 系统 代码 。 

用 户 模式 调试 器 OllyDbg 内 置 了 强大 的 反 汇 编 器 ， 且 该 反 汇编 器 具有 强大 的 代码 分 析 能 
力 ， 可 以 识别 循环 、switch 控制 块 以 及 其 他 主要 的 代码 结构 。 它 还 提供 大 量 不 同 的 视图 ， 包 
括 列 出 模块 中 的 导入 和 导出 、 显 示 被 调试 者 拥有 的 窗口 和 其 他 对 象 的 列表 、 显 示 当 前 的 异常 
句柄 链 等 。 它 还 包括 一 个 内 置 的 编译 和 修补 引擎 ， 可 在 程序 中 的 任何 区 域 输入 汇编 代码 ， 然 
后 将 更 改 后 的 程序 编译 运行 。 

内 核 模式 调试 器 与 用 户 模式 调试 器 不 同 ， 它 不 是 运行 在 操作 系统 上 的 程序 ， 而 是 与 系统 
的 内 核 处 于 同等 地 位 的 组 件 。 内 核 模 式 调试 器 通常 面向 内 核 级 开发 人 员 ， 如 设备 驱动 程序 的 
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可 进行 内 核 调试 ， 其 内 核 调试 模式 是 在 与 运行 WinDbg GUI 的 系统 相互 独立 的 系统 上 远程 执 
行 的 , 采取 的 办 法 是 目标 系统 用 DEBUG 开关 项 (在 配置 文件 bootini 中 设置 ) 引 导 。 被 调试 的 
程序 与 运行 WinDbg 的 控制 系统 通过 串 行 的 假 调 制 解 调 器 电缆 (null-modem cable) 或 高 速 Fire 
Wire(IEEE 1394) 连 接 。 


3. 反 编 译 器 

反 编 译 器 接收 可 执行 的 二 进 制 文件 ， 试 图 从 中 生成 可 读 性 好 的 高 级 语言 代码 。 其 思想 是 
逆向 编译 的 过 程 ， 以 获取 最 初 的 源 代码 文件 或 接近 于 最 初 源 代码 的 文件 。 

Boomerang 是 一 种 开放 源 代码 的 反 编 译 器 ， 主 要 用 于 反 编 译 机 器 代码 。 反 编译 二 进 制 代 
码 非常 困难 ， 其 次 是 反 编 译 汇编 代码 ， 即 将 汇编 代码 转变 为 高 级 语言 代码 。 一 个 实例 是 
Interactive Decompiler，IDC 是 一 个 交互 式 反 编译 器 ， 能 将 汇编 语言 代码 转换 成 可 读 性 良好 的 
类 C 语言 代码 。 

4. 系统 监控 工具 


系统 监控 工具 用 来 显示 操作 系统 收集 到 的 有 关 应 用 程序 及 其 环境 的 信息 。 由 于 程序 与 外 
部 世界 的 所 有 通信 都 要 经 过 操作 系统 ， 因 此 通常 使 用 操作 系统 来 提取 这 些 信息 。 系 统 监控 工 
具 可 以 监控 网 络 活动 、 文 件 访问 和 注册 表 访 问 等 。 有 些 工 具 可 以 展示 程序 使 用 操作 系统 对 象 
的 情况 ， 如 互 斥 对 象 、 管 道 、 事 件 等 。Micrsoft Technet 站 点 提供 了 如 下 多 个 Windows 系统 监 
控 工具 : 

e FileMon: 此 工具 可 以 用 于 监控 程序 和 操作 系统 之 间 所 有 文件 系统 级 的 通信 ， 还 可 以 
用 来 显示 在 系统 中 运行 的 每 个 进程 所 产生 的 文件 VO。 使 用 这 个 工具 能 观察 到 每 个 打 
开 的 文件 或 目录 ， 以 及 系统 中 任何 进程 执行 的 读 / 写 操作 。 

e@ ”Process Explorer: 此 工具 可 以 用 于 显示 进程 、 加 载 在 各 自 地 址 空间 中 的 DLL 文件 、 每 
个 进程 内 的 对 象 句柄 、 打 开 的 网 络 连 接 的 详细 信息 ， 还 可 以 显示 CPU 以 及 内 存 的 使 用 
曲线 图 等 信息 ， 此 外 还 可 以 显示 某 些 与 代码 相关 的 细节 ， 如 每 个 进程 中 各 线程 的 用 户 
栈 和 内 核 栈 以 及 符号 信息 。 

e@ TCPView: 此 工具 可 以 用 于 监控 每 个 进程 的 所 有 活动 的 TCP 和 UDP 网 络 连 接 , 显示 
关于 某 个 连接 由 某 个 进程 打开 的 列表 ， 以 及 连接 类 型 、 端 口号 和 另 一 端的 系统 地 址 。 
对 显示 木马 和 蠕虫 行为 很 有 帮助 。 

e Autoruns 工 具 : 此 工具 可 以 用 于 显示 完整 的 开机 时 启动 的 项 目 , 还 可 以 显示 调度 任务 、 
系统 服务 、 启 动 阶段 执行 的 项 目 、 驱 动 等 内 容 。 木 马 程序 通常 自动 加 载 到 自 启动 项 
中 ， 使 得 系统 一 开机 就 运行 ， 所 以 该 工具 可 用 来 发 现 可 疑 的 自 启 动 项 目 、 驱 动 和 系 
统 任务 等 。 


12 ”软件 安全 问题 的 现状 


现代 信息 生活 中 ,计算 机 系统 的 安全 问题 越 来 越 受 到 重视 。 软 件 是 组 成 计算 机 应 用 的 重 
要 部 分 ， 当 软件 由 于 漏洞 而 遭受 攻击 ， 或 者 运行 期 间 出 现 错误 时 ， 会 给 用 户 带 来 巨大 损失 : 


。12。 软件 安全 测试 及 工具 应 用 


如 犯罪 分 子 利 用 软件 漏洞 来 获取 有 价值 的 信息 ， 用 于 牟取 利益 ;又 如 软件 因为 开发 时 没有 考 
虑 运行 时 的 具体 情况 ， 而 造成 运行 的 突然 朋 溃 等 。 


1.2.1 当前 的 软件 安全 问题 


从 用 户 角 度 出 发 ， 典 型 安全 问题 表现 在 以 下 4 个 方面 : 
。 使 用 某 些 交 易 软件 的 过 程 中 ， 某 些 敏感 信息 (如 个 人 身份 信息 、 个 人 卡号 密码 等 信息 ) 
被 敌 方 获 取 并 用 于 牟利 。 
e 访问 某 些 网 站 时 ， 服 务 器 响应 缓慢 ， 或 者 服务 器 由 于 访问 量 造成 负载 过 大 ， 造 成 突 
然 竣 疾 。 
。 系统 中 安装 了 存在 漏洞 的 软件 ， 漏 洞 没有 解决 ， 攻 击 者 找到 漏洞 并 对 该 系统 进行 攻 
击 ， 造 成 系统 瘫痪。 
。 用 户 耗费 精力 完成 了 一 幅 漂亮 的 风景 画 ， 在 互联 网 发 布 ， 没 有 考虑 版 权 ， 被 他 人 随 
意 使 用 却 无 法 问 责 。 
因此 ， 这 些 安全 问题 应 该 在 软件 开发 过 程 中 就 充分 考虑 到 。 在 新 时 期 ， 对 软件 的 开发 提 
出 了 两 个 新 要 求 : 使 软件 更 高 级 和 提高 可 扩展 性 。 这 两 个 要 求 促进 了 软件 工程 应 用 和 研究 的 
发 展 , 但 也 使 软件 安全 变 得 更 富有 挑战 性 。 一 方面 ， 软 件 复杂 性 提高 ， 安 全 问题 也 趋 于 复杂 ， 
无 法 得 到 全 面 考虑 ， 而 工程 进度 又 迫使 开发 者 不 得 不 在 一 定时 间 内 交付 产品 ， 代 码 越 多 ， 漏 
洞 和 缺陷 也 就 越 多 ， 另 一 方面 ， 软 件 的 可 扩展 性 要 求 越 来 越 高 ， 系 统 升级 和 性 能 扩展 成 为 很 
多 软件 必 备 的 功能 ， 可 扩展 性 好 的 系统 ， 由 于 能 够 用 较 少 的 成 本 扩充 功能 ， 受 到 开发 者 和 用 
户 的 欢迎 ; 但 针对 可 扩展 性 必须 进行 相应 的 设计 ， 软 件 结构 变 得 复杂 。 添加 新 的 功能 的 同时 ， 
也 引入 了 新 的 风险 。 
怎样 消除 这 些 安全 问题 ? 首先 ， 大 多 数 人 可 以 想到 的 方法 是 软件 测试 ， 通 过 测试 来 减少 
软件 中 缺陷 或 漏洞 的 数量 。 但 是 ， 由 于 软件 系统 规模 越 来 越 大 ， 软 件 开发 的 进度 要 求 越 来 越 
高 ， 不 可 能 在 有 限时 间 内 考虑 安全 方面 的 所 有 问题 ， 即 使 进行 了 全 方位 软件 测试 ， 也 只 能 履 
盖 所 有 测试 案例 中 的 很 小 一 部 分 。 由 于 工程 进度 问题 ， 实 际 上 在 测试 时 不 可 能 兼顾 全 面 ， 往 
往 只 是 采用 了 一 些 具 有 代表 性 的 测试 案例 来 进行 测试 ， 但 这 些 测试 案例 在 设计 时 又 不 能 保证 
具有 最 全 面 的 代表 性 。 如 果 要 将 所 有 问题 考虑 周全 ， 除 非 进行 穷 举 测试 ， 而 完成 这 种 穷 举 测 
试 目前 是 不 现实 的 。 
因此 ， 软 件 测试 无 法 完全 保证 软件 的 安全 性 。 一 方面 是 想 要 实现 全 面 的 测试 ， 找 出 全 部 
的 错误 ， 另 一 方面 又 要 保证 工程 的 进度 ， 解 决 用 户 的 问题 ， 两 者 存在 矛盾 ， 只 能 在 其 中 找到 
平衡 点 。 
关于 测试 的 另 一 个 问题 是 全 面 测 试 。 一 般 情况 下 是 针对 所 有 可 能 出 现 的 隐患 进行 测试 ， 
但 这 需要 对 软件 的 隐患 具有 全 方位 的 预见 性 。 而 有 些 情况 下 ， 很 多 隐患 是 在 运行 期 间 才 显露 
出 来 的 ， 软 件 开发 者 很 难 在 开发 阶段 预见 到 所 有 可 能 出 现 的 隐患 ， 容 易 让 测试 陷入 盲目 。 因 
此 ， 测 试 只 能 减少 软件 安全 问题 的 发 生 ， 但 是 不 能 完全 解决 安全 问题 。 业 界 大 都 公认 一 个 事 
实 : 几乎 所 有 的 已 发 布 软件 都 存在 安全 隐患 。 这 里 可 以 得 出 如 下 结论 : 任何 软件 都 是 不 安全 
的 , 包括 进行 了 广泛 测试 的 知名 接口 、 协 议 (如 TCP/IP) 等 ,很 多 情况 下 都 会 成 为 攻击 的 目标 。 
另外 ， 从 技术 方面 来 讲 ， 软 件 的 安全 问题 (如 缓冲 区 溢出 、 异 常 处 理 不 当 、 线 程 同步 问题 没有 
考虑 等 ) 是 普遍 存在 的 ， 无 法 完全 避免 ， 黑 客 可 采取 多 种 手段 入 侵 。 以 网 络 软件 为 例 ， 黑 客 可 
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能 通过 互联 网 未 经 授权 获得 信息 ， 或 者 利用 软件 缺陷 来 控制 用 户 系统 并 展开 攻击 。 随 着 网 络 
应 用 的 更 趋 丰 富 ， 用 户 对 网 络 服务 的 依赖 也 相应 增加 (如 网 上 银行 、 网 上 股票 、 网 上 游戏 等 )， 
这 也 导致 了 入 侵 方法 的 多 样 化 和 复杂 化 ， 使 得 安全 问题 更 加 明显 。 

另 一 个 解决 安全 问题 的 方法 是 在 测试 前 减少 安全 隐患 。 在 设计 、 编 码 阶段 ， 熟 练 的 软 
件 设计 人 员 和 软件 工程 师 完全 可 以 尽 可 能 多 地 将 安全 问题 进行 考虑 并 加 以 解决 。 如 果 在 程 
序 设计 时 就 能 尽力 全 面 考虑 安全 问题 ， 对 软件 的 安全 性 就 会 有 更 好 的 保证 ， 可 以 大 大 减轻 
测试 负担 。 


1.2.2 造成 软件 不 安全 的 原因 


通常 ， 软 件 不 安全 性 的 受害 者 就 是 其 直接 用 户 。 从 用 户 角 度 来 看 ， 软 件 的 不 安全 性 主要 
体现 在 两 个 方面 。 

一 方面 软件 在 运行 过 程 中 不 稳定 ， 出 现 异 常 现象 、 得 不 到 正常 结果 ， 或 在 特殊 情况 下 由 
于 一 些 原因 造成 系统 崩溃 。 比 如 : 由 于 异常 处 理 不 当 ， 软 件 运行 期 间 遇 到 突 发 问题 ， 处 理 异 
常 之 后 无 法 释放 资源 ， 导 致 这 些 资源 被 锁定 无 法 使 用 ， 由 于 线程 处 理 不 当 ， 软 件 运行 中 莫名 
其 妙 得 不 到 正常 结果 ;由 于 网 络 连接 处 理 不 当 ， 网 络 软件 运行 过 程 中 ， 内 存 消 耗 越 来 越 大 ， 
系统 越 来 越 慢 ， 最 后 朋 省 ， 由 于 编程 没有 进行 优化 ， 程 序 运行 消耗 资源 过 大 等 。 

另 一 方面 ， 敌 方 利用 各 种 方式 攻击 软件 ， 达 到 窃取 信息 、 破 坏 系 统 等 目的 。 比 如 : 敌 方 
通过 一 些 手 段 获 取 数 据 库 中 的 明文 密码 ， 敌 方 利用 软件 的 缓冲 区 溢出 ， 运 行 敏感 的 函数 ， 敌 
方 利 用 软件 对 数据 的 校 验 不 全 面 ， 给 用 户 发 送 虚 假 信 息 ， 敌 方 对 用 户 进行 拒绝 服务 攻击 等 。 

通常 情况 下 ， 大 多 数 安全 问题 在 软件 运行 过 程 中 发 生 ， 而 负责 软件 系统 运行 的 技术 管理 
人 员 或 软件 的 个 人 用 户 , 并 不 是 专业 软件 开发 人 员 。 此 时 他 们 往往 无 法 给 出 直接 的 应 对 方案 ， 
虽然 可 以 依靠 一 些 简单 方法 ， 如 优化 操作 系统 、 优 化 网 络 、 优 化 数据 库 管理 系统 或 设置 额外 
的 操作 权限 来 应 对 这 些 剧 增 的 安全 问题 ， 但 实际 上 ， 这 些 方法 不 能 根除 问题 。 此 时 ， 软 件 的 
生产 单位 就 需要 投入 大 量 成 本 来 进行 软件 的 维护 。 

软件 出 现 安全 隐患 ， 并 造成 损失 ， 一 方面 是 由 于 攻击 者 的 猩 狐 ， 但 从 开发 者 角度 ， 几 乎 
都 有 一 个 共同 的 基本 原因 ， 那 就 是 由 于 在 设计 、 编 码 、 测 试 和 运行 阶段 ， 没 有 发 现 软件 中 的 
各 种 漏洞 ， 导 致 软件 的 不 安全 。 

从 严格 定义 上 讲 ， 软 件 安全 隐患 一 般 可 分 为 两 类 : 错误 和 缺陷 。 错 误 是 指 软件 实现 过 程 
出 现 的 问题 ， 大 多 数 错误 可 以 很 容易 发 现 并 修复 ， 如 缓冲 区 溢出 、 死 锁 、 不 安全 的 系统 调用 、 
不 完整 的 输入 检测 机 制 和 不 完善 的 数据 保护 措施 等 ， 缺 陷 是 一 个 更 深层 的 问题 ， 它 往往 产生 
于 设计 阶段 并 在 代码 中 实例 化 且 难 以 发 现 ， 如 设计 期 间 的 功能 划分 问题 等 ， 这 种 问题 带 来 的 
危害 更 大 ， 但 不 属于 编程 范畴 。 

下 面 六 述 软件 不 安全 的 原因 。 首 先 ， 站 在 软件 开发 者 的 角度 ， 软 件 不 安全 的 原因 可 以 归 
纳 为 以 下 几 种 : 

1) 软件 生产 没有 严格 遵守 软件 工程 流程 。 由 于 缺乏 经 验 或 主观 (如 片面 追求 进度 ) 原 因 ， 
软件 的 设计 者 和 开发 者 没有 进行 统一 管理 ， 可 以 在 软件 开发 周期 的 任意 时 候 ， 随 意 删 除 、 新 
增 或 修改 软件 需求 规格 说 明 书 、 威 胁 模型 、 设 计 文档 、 源 代码 、 整 合 框架 、 测 试用 例 和 测试 
结果 、 安 装配 置 说 明 书 ， 使 得 软件 的 安全 性 减弱 。 

大 多 数 系统 软件 或 其 他 商业 软件 的 结构 都 庞大 繁杂 ， 而 且 由 于 考虑 到 软件 的 扩展 性 ， 它 
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们 的 设计 更 加 巧妙 ， 复 杂 性 可 能 更 高 。 在 运行 过 程 中 ， 这 些 系统 又 可 以 在 大 量 不 同 的 状态 之 
间 转 换 ， 这 个 特性 增加 了 持续 安全 运行 的 难度 。 面 对 不 可 避免 的 安全 威胁 和 风险 ， 项 目 经 理 
和 软件 工程 师 必 须 从 开发 流程 做 起 ， 让 安全 性 贯穿 整个 软件 开发 周期 。 就 大 多 数 相 对 成 功 的 
软件 工程 案例 而 言 ， 如 果 项 目 经 理 和 软件 工程 师 针对 软件 缺陷 进行 系统 的 训练 ， 可 以 避免 软 
件 的 许多 安全 缺陷 。 
2) 编码 者 没有 采用 科学 的 编码 方法 。 在 软件 开发 过 程 中 没有 考虑 软件 可 能 出 现 的 问题 ， 
仅 将 能 想到 的 问题 停留 在 实验 室内 进行 解决 。 实 际 上 ， 有 些 程序 ， 在 实验 室 阶段 根本 不 会 出 
现 安全 隐患 ， 如 : 
void function(char *input) 
{ 
char buffer[16]; 
strcpy(buffer，inpub; 
上 


表示 将 input 字 符 串 复制 到 buffer 中 ， 如 果 没 有 考虑 缓冲 区 溢出 ， 即 使 在 开发 阶段 的 测试 
过 程 中 让 这 个 函数 产生 缓冲 区 溢出 ， 也 不 会 产生 攻击 效果 。 只 有 在 精心 设计 后 ， 才 可 能 对 系 
统 造成 攻击 。 因 此 在 开发 阶段 很 难 意识 到 这 个 问题 ， 使 得 软件 留 下 安全 隐患 。 

3) 测试 不 完全 。 主要 是 测试 用 例 的 设计 无 法 涵盖 所 有 安全 问题 。 如 常见 的 通过 用 户 名 和 
密码 进行 登录 的 表单 ， 一 般 测 试用 例 只 是 设计 输入 正确 的 用 户 名 和 密码 ， 看 能 否 正常 登录 ， 
再 输入 错误 的 用 户 名 和 密码 , 看 能 和 否 得 到 相应 的 错误 提示 。 但 攻击 者 如 果 输 入 某 些 与 SQL 注 
入 有 关 的 值 ， 就 可 能 在 不 需要 知道 用 户 名 和 密码 的 情况 下 登录 到 系统 ， 甚 至 知道 系统 中 的 其 
他 信息 或 对 系统 中 的 内 容 进行 修改 。 

从 软件 工程 客观 角度 看 ， 软 件 的 安全 性 隐患 又 源 于 以 下 几 个 方面 : 

1) 软件 复杂 性 和 工程 进度 的 平衡 。 软 件 复杂 性 提高 ， 不 仅 是 编码 工作 量 的 提高 ， 更 重要 
的 是 其 中 需要 考虑 的 问题 更 复杂 ， 测 试用 例 规模 也 呈 指数 级 增长 。 但 工程 进度 只 是 按照 软件 
规模 进行 适当 延长 ， 很 多 问题 没 能 解决 便 投 入 使 用 。 

2) 安全 问题 的 不 可 预见 性 。 主 要 是 软件 工程 师 不 了 解 运行 的 实际 情况 ， 在 测试 时 做 出 
过 于 简单 的 假设 。 无 法 安全 考虑 一 部 分 问题 ， 包 括 对 软件 的 功能 、 输 出 和 软件 运行 环境 的 
行为 状态 ， 或 者 外 部 实体 (用 户 、 软 件 进程 ) 的 预期 输入 。 攻 击 者 有 足够 的 时 间 进 行 攻击 方法 
的 研究 。 

3) 由 于 软件 需求 的 变动 。 软 件 规格 说 明 书 或 设计 文档 无 法 一 开始 就 确定 下 来 ; 在 现代 软 
件 工程 中 ， 很 多 软件 的 需求 变动 ， 导 致 其 设计 本 来 就 是 变动 的 ， 很 多 安全 问题 可 能 在 变动 的 
过 程 中 被 忽略 。 

4) 软件 组 件 之 间 交 互 的 不 可 预见 性 。 如 客户 在 使 用 软件 的 过 程 中 ， 自 行 安装 第 三 方 提供 
的 组 件 , 开发 者 根本 无 法 知道 客户 的 软件 将 和 谁 交 互 , 软件 在 运行 过 程 中 可 能 会 出 现 安全 问题 。 

可 见 软 件 的 安全 问题 无 法 完全 避免 。 即使 在 需求 分 析 和 设计 时 可 以 避免 , 或 者 在 开发 时 可 
以 避免 ， 但 缺陷 还 是 会 在 软件 汇编 、 集 成 、 部 署 和 运行 时 被 引入 。 不 管 如 何 忠实 地 遵守 一 个 基 
于 安全 的 开发 过 程 ， 只 要 软件 的 规模 和 复杂 性 继续 增长 ， 一 些 可 被 挖掘 出 来 的 错误 和 其 他 缺陷 
是 必然 存在 的 。 因 此 ， 安 全 编程 技术 不 是 为 了 消除 安全 隐患 ， 而 是 为 了 尽量 减少 安全 隐患 。 
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1.2.3 ”软件 缺陷 和 漏洞 

1. 缺陷 和 漏洞 的 定义 

软件 存在 的 各 种 问题 ， 中 文通 常用 “软件 缺陷 ”一 词 ， 但 在 英文 中 有 多 个 词 与 之 对 应 。 例 
如 缺陷 bug)、 缺 点 (defecb、 偏 差 (variance)、 廖 误 (faulb、 失 败 (failure)、 了 矛盾 (inconsistency)、 错 
误 (eror)、 毛 病 (incident)、 异 常 (anomy) 等 。IEEE 标准 729-1983 中 对 软件 缺陷 给 出 了 一 个 标准 
定义 : 从 产品 内 部 看 ， 软 件 缺 陷 是 软件 产品 开发 或 维护 过 程 中 存在 的 错误 、 缺 点 等 各 种 问题 。 
从 外 部 看 ， 软 件 缺 陷 是 系统 所 要 实现 的 某 种 功能 的 失效 或 违背 。 互 联网 词汇 将 漏洞 定义 为 : 系 
统 设计 、 实 现 和 操作 管理 中 存在 的 缺陷 和 弱点 ， 它 们 可 以 被 用 来 违背 系统 的 安全 策略 。 

2. 软件 缺陷 存在 的 原因 


软件 缺陷 产生 的 主要 原因 有 : 需求 规格 说 明 书 Requirement Specification) 包 含 错误 的 需 
求 ， 或 漏 掉 一 些 需求 ， 或 没有 准确 表达 客户 需要 的 内 容 ， 需 求 规格 说 明 书 中 有 些 功能 不 可 能 
或 无 法 实现 ， 系 统 设计 中 的 不 合理 性 ;程序 设计 中 的 错误 ， 程 序 代码 中 的 问题 ， 包 括 错误 的 
算法 、 复 杂 的 罗 辑 等 。 

软件 缺陷 的 主要 类 型 有 : 功能 、 特 性 没有 实现 或 实现 不 完全 ， 设 计 不 合理 ， 存 在 缺陷 ; 实 
际 结果 和 预期 结果 不 一 致 ， 运 行 出 错 ， 包 括 运行 中 断 、 系 统计 溃 ， 数 据 结果 不 正确 、 精 度 不 够 。 

软件 缺陷 的 严重 性 级 别 可 分 为 4 类: 

e 致命 (fatal) 缺 陷 ， 造 成 系统 和 应 用 程序 崩溃 、 死 机 、 系 统 挂 起 ， 数 据 丢 失 、 主 要 功能 


完全 丧失 等 ; 
e 严重 (criticaD) 缺 陷 ， 功 能 或 特性 没有 实现 ， 主 要 功能 丧失 ， 导 致 严重 问题 或 致命 的 错 
误 声 明 ; 


e 一 般 (majon 缺 陷 : 不 影响 系统 的 级 别 使 用 ， 但 没有 很 好 地 实现 功能 ， 没 有 达到 预期 
效果 ， 如 次 要 功能 丧失 、 操 作 时 间 长 等 ; 

e 轻微 (minor) 缺 陷 ， 对 功能 几乎 没有 影响 ， 产 品 及 属性 仍 可 使 用 。 

软件 缺陷 除了 严重 性 外 ， 还 存在 不 同 的 状态 来 反映 软件 缺陷 处 于 一 种 什么 样 的 状态 ， 以 
便 跟 踪 和 管理 某 个 软件 产品 的 缺陷 。 激 活 (active) 状 态 : 问题 还 没有 解决 ， 新 发 现 的 缺陷 或 验 
证 后 仍 存在 的 缺陷 。 已 经 修正 (fixed) 状 态 : 针对 所 存在 的 缺陷 ， 修 改 程序 ， 认 为 已 经 解决 问 
题 或 通过 单元 测试 。 非 激活 (nactive) 状 态 : 测试 后 验证 缺陷 不 存在 的 状态 。 

3. 存在 软件 安全 漏洞 的 原因 

根据 漏洞 出 现 的 阶段 ， 软 件 安全 漏洞 可 分 为 两 大 类 : 设计 漏洞 和 实现 漏洞 。 设 计 漏洞 是 
软件 设计 阶段 发 生 的 设计 错误 ， 无 论 编码 人 员 如 何 实现 ， 都 存在 安全 问题 。 实 现 漏洞 是 由 软 
件 编码 中 的 安全 缺陷 造成 的 ， 如 没有 检测 返回 代码 、 没 有 正确 定义 缓冲 区 的 大 小 、 没 有 正确 
处 理 非 预 期 的 输入 等 。 

常见 的 设计 漏洞 有 如 下 两 个 方面 : 一 是 密码 技术 使 用 不 当 , 如 选择 错误 的 密码 学 方法 (对 
称 密码 算法 、 非 对 称 密码 算法 、 哈 希 函 数 等 ) 来 完成 加 密 、 完 整 性 检验 和 认证 等 。 在 使 用 密码 
技术 时 ， 没 有 使 用 标准 化 的 成 熟 算法 ， 如 AES、RSA 等 ， 而 是 自 创 一 套 未 得 到 公开 研究 和 验 
证 的 密码 算法 。 即 使 是 使 用 现 有 的 成 熟 算 法 , 也 没有 使 用 较 知名 的 密码 库 , 如 Microsoft Crypto 
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API 或 OpenSSL， 而 是 自己 编写 的 或 来 源 于 不 知名 的 密码 库 。 二 是 安全 需求 不 明确 ， 在 系统 
分 析 阶 段 没 有 明确 安全 的 需求 ， 对 威胁 没有 明确 的 建立 模型 。 


4. 软件 漏洞 产生 机 理 
软件 漏洞 的 产生 机 理 有 以 下 3 个 方面 : 


1) 应 用 程序 的 内 存 布局 

执行 应 用 程序 时 ， 可 执行 的 应 用 程序 以 及 提供 支持 的 库 被 载 入 内 存 。 即 使 系统 的 物理 内 
存 很 小 ， 每 个 应 用 程序 也 被 分 配 4GB 的 虚拟 内 存 ， 即 基于 32 位 的 地 址 空间 。 当 应 用 程序 运 
行内 存 管理 时 ， 内 存 管理 自动 将 虚拟 地 址 映射 到 真实 数据 所 在 的 物理 地 址 。 

内 存 可 分 为 用 户 模式 和 内 核 模式 。 用 户 模式 内 存 一 般 是 载 入 和 执行 应 用 程序 的 内 存 
域 ， 而 内 核 模式 内 存 是 载 入 和 执行 内 核 模式 元 件 的 内 存 区 域 。 因 此 ， 应 用 程序 不 能 直接 访 让 
任何 内 核 模式 内 存 , 否则 会 造成 非法 访问 。 如果 应 用 程序 需要 对 内 核 模 式 内 存 进行 正当 访问 ， 
就 在 操作 系统 和 应 用 程序 间 进 行 用 户 模式 和 内 核 模式 的 转换 。 

默认 情况 下 ,2GB 的 虚拟 内 存 空 间 被 提供 给 用 户 模式 ， 另外 ,2GB 的 虚拟 内 存 空 间 被 提 
供给 内 核 模式 。 这 样 ，0x00000000 至 0x7FFFFFFF 这 一 段 提 供给 用 户 模式 ，0x80000000 至 
0xBFFFFFFF 这 一 段 提 供给 内 核 模 式 。 

一 个 可 执行 程序 不 仅 和 它 需 要 的 应 用 程序 的 动态 链接 库 链接 ， 也 和 默认 的 系统 堆 一 起 共 
享用 户 模式 的 地 址 空间 。 在 不 同 主机 上 ， 只 要 操作 系统 的 版 本 和 应 用 程序 是 一 样 的 ， 都 将 应 
用 程序 的 动态 链接 库 载 入 相同 的 内 存 地 址 。 


Xx 


Pe 


2) 应 用 程序 结构 

所 有 应 用 程序 被 载 入 3 个 主要 的 内 存 区 : 堆栈 段 (Stack Segment)、 数 据 段 (Data Segment) 
以 及 代码 和 文本 段 (Code and Text Segment)。 堆 栈 段 存储 了 局 部 变量 和 程序 调用 ,数据 段 存储 
了 静态 变量 和 动态 变量 , 文本 段 存储 了 程序 指令 , 数据 段 和 堆栈 段 对 于 每 个 程序 都 是 私有 的 ， 
即 其 他 应 用 程序 不 可 以 访问 这 些 区 域 。 另 一 方面 ， 文 本 段 部 分 是 只 读 段 ， 这 是 其 他 程序 可 以 
访问 的 。 然 而 ， 如 果 试 图 向 这 个 区 域 进行 写 入 操作 ， 会 引起 非法 段 操作 (Segment Violation)。 


3) 进程 的 内 存 布局 

每 个 进程 的 虚拟 内 存 被 分 为 内 核 地 址 空间 和 用 户 地 址 空间 。Windows 以 及 Linux 中 的 用 
户 地 址 空间 包括 堆栈 段 、 堆 地 址 空间 、 程 序 代码 和 各 种 其 他 段 ， 如 BSS 编译 器 放 在 静态 数据 
的 段 。 在 Linux 系统 上 ， 堆 栈 处 于 内 存 地 址 的 高 端 ， 堆 栈 的 顶端 仅 比 0xc0000000 低 1 比特 。 
在 Windows 系统 上 ， 这 一 点 完全 不 同 ,堆栈 位 于 内 存 地 址 的 低 端 所 以 通常 地 址 的 最 重要 字 
节 QMSB) 通 常 为 0。 且 内 存 的 设置 更 复杂 ， 进 程 可 以 有 许多 堆 ， 每 个 动态 链接 库 都 有 各 自 的 
堆 和 堆栈 。 这 个 区 别 通常 使 Windows 上 堆栈 溢出 攻击 的 利用 比 Linux 上 的 利用 更 困难 。 因 为 
简单 的 基于 堆栈 的 shellcode 在 它 的 主体 中 至 少 含有 一 个 来 自 堆 栈 的 地 址 ， 但 是 字符 串 copy 
函数 将 在 0 字 节 时 停止 复制 ， 无 法 复制 全 部 的 shellcode， 这 就 是 著名 的 NULL 字 节 问题 。 
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1.2.4 ”针对 软件 安全 问题 的 测试 


1. 软件 测试 概述 

IEEE 对 软件 测试 给 出 的 定义 是 : “使 用 人 工 或 自动 手段 来 运行 或 测定 某 个 系统 ， 其 目的 

在 于 检测 该 系统 是 否 满足 规定 的 需求 ， 或 者 弄 清 预期 的 结果 与 实际 结果 的 差别 。” 因 此 ， 软 
件 测试 的 目的 是 发 现 软件 中 的 错误 ， 并 在 交付 用 户 使 用 前 消除 这 些 错误 ， 这 几乎 成 为 一 个 公 
认 的 概念 。 这 里 的 “错误 ”实际 上 是 一 个 广义 的 概念 ， 初 学 者 往往 将 其 理解 为 “编码 错误 ”， 
实际 上 ， 能 引起 软件 错误 的 因素 很 多 ， 绝 不 仅 是 编码 方面 的 原因 ， 包 括 很 广泛 的 内 容 : 软件 
的 需求 分 析 者 曲解 了 用 户 的 需求 ， 测 试 时 发 现实 现 的 流程 和 用 户 的 叙述 不 一 样 ; 软件 的 设计 
者 在 设计 时 没有 考虑 某 些 现场 因素 ， 导 致 软件 在 真实 环境 下 测试 时 无 法 正常 运行 ， 软 件 编码 
者 的 疏忽 ， 将 某 些 逻 辑 流程 写 错 ， 使 得 程序 得 不 到 预想 的 结果 等 。 
此 可 见 ， 软 件 测试 的 根本 目标 是 尽 可 能 多 地 发 现 并 排除 软件 中 潜藏 的 错误 ， 最 终 把 一 
个 高 质量 的 软件 系统 交 给 用 户 使 用 。 测 试 的 目的 包括 以 下 几 部 分 : 测试 是 为 了 发 现 程序 中 的 
错误 而 执行 程序 的 过 程 ， 优 秀 的 测试 方案 是 尽 可 能 发 现 目前 尚未 发 现 的 错误 的 测试 方案 ; 成 
功 的 测试 方案 是 找到 目前 尚未 发 现 的 错误 的 测试 。 

不 过 ， 如 果 将 软件 测试 效果 的 评价 指标 定义 为 查 出 错误 的 个 数 ， 认 为 无 法 检测 错误 的 测 
试 就 是 没有 价值 的 测试 ， 则 是 片面 的 观点 。 因 为 没有 发 现 错误 ， 或 者 发 现 错误 较 少 的 测试 ， 
侧面 反映 出 软件 质量 较 高 。 因 此 ， 测 试 同时 也 是 评定 软件 质量 的 一 种 标准 ;发现 很 多 错误 的 
测试 ， 不 一 定 是 成 功 的 ， 如 果 软 件 本 身 质 量 较 低 ， 那 么 不 能 通过 发 现 错误 的 个 数 越 多 ， 得 出 
软件 剩 下 的 错误 越 少 的 结论 ， 已 经 发 现 的 错误 很 多 ， 可 能 未 知 的 错误 也 很 多 。 

从 另 一 角度 看 ， 通 过 软件 测试 找到 错误 ， 除 了 能 够 解决 错误 外 ， 还 可 以 通过 分 析 错 误 产 
生 的 原因 和 错误 的 发 生 趋势 ， 帮 助 软件 的 开发 者 发 现 当前 软件 开发 过 程 中 的 缺陷 ， 以 便 及 时 
改进 ; 另外 ,通过 对 错误 进行 分 析 , 也 可 以 帮助 测试 人 员 设 计 出 更 加 具有 针对 性 的 测试 方法 ， 
提高 测试 工作 的 效率 和 效果 。 

软件 测试 的 意义 主要 体现 在 减少 软件 中 的 错误 。 通过 软件 测试 可 以 发 现 软 件 中 存在 的 错 
误 ， 通 过 完全 地 修改 这 些 错误 ， 可 以 减少 软件 中 的 错误 ， 提 高 软件 的 可 靠 性 。 通 过 软件 测试 ， 
对 发 现 的 错误 进行 分 析 和 统计 ， 可 以 评估 软件 的 综合 性 能 。 当 然 ， 即 使 软件 测试 没有 发 现任 
何 错误 ， 也 可 以 作为 评估 软件 综合 性 能 的 手段 等 。 

从 实际 项 目的 测试 工作 划分 ， 软 件 测试 工作 可 分 为 以 下 几 个 过 程 : 

e 单元 测试 ， 对 软件 的 每 一 个 程序 单元 进行 测试 ， 检 查 各 个 程序 模块 的 正确 性 ， 并 配 

合适 当 的 代码 审查 ; 
。 集成 测试 ， 把 已 测试 过 的 模块 组 装 起 来 ， 以 便 发 现 与 接口 有 关 的 问题 ， 如 数据 模块 
间 传 递 、 模 块 组 合 性 能 、 模 块 调用 性 能 等 ; 

e 确认 测试 : 检查 软件 是 否 满足 需求 规格 说 明 书 中 的 各 种 需求 ， 以 及 软件 配置 是 否 完 
全 、 正 确 ; 该 测试 又 叫做 验收 测试 ， 目 的 是 验证 软件 的 有 效 性 ; 

。 系统 测试 :把 已 经 通过 验收 的 软件 ， 放 入 实际 运行 环境 中 运行 ， 用 户 记录 在 测试 过 
程 中 过 到 的 一 切 问题 ， 定 期 报告 给 开发 者 。 

这 几 个 测试 过 程 ， 从 软件 开发 生命 周期 的 一 开始 就 应 该 执行 ， 而 且 贯穿 软件 工程 中 的 每 个 
阶段 。 
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软件 测试 的 方法 有 很 多 种 分 类 ， 第 一 种 是 分 为 静态 测试 方法 和 动态 测试 方法 。 

竟 态 测试 方法 指 不 实际 运行 被 测试 的 软件 ， 对 软件 进行 分 析 、 检 查 和 审阅 来 寻找 多 得 鱼 
误 。 主 要 工作 包括 ， 对 需求 规格 说 明 书 、 软 件 设计 说 明 书 、 源 程序 进行 检查 和 审阅 ;检查 以 
上 工作 是 否 符合 标准 和 规范 ， 通 过 结构 分 析 、 流 图 分 析 等 方法 ， 指 出 软件 缺陷 ， 对 各 种 文档 
进行 测试 等 。 苯 态 测试 是 软件 开发 中 十 分 有 效 的 质量 控制 方法 之 一 。 该 方法 在 软件 开发 生命 
周期 的 早期 和 中 期 阶段 尤其 有 效 。 由 于 程序 还 没有 编 出 米 ， 可 以 直接 运行 的 代码 尚未 产生 ， 
又 必须 对 设计 的 一 些 思路 进行 检查 或 审核 ， 因 为 初期 的 工作 质量 可 能 直接 关系 到 软件 开发 的 
成 本 。 因此， 在 这 些 阶段 ， 可 大 量 采 用 静态 测试 方法 。 表 态 测试 主要 靠 人 工 来 完成 ， 不 过 近 
些 年 米 ， 也 开发 了 不 少 自动 化 工具 ， 进 行 计算 机 辅助 测试 。 但 短期 内 想 要 实现 测试 的 自动 化 
难度 绞 大 。 静态 测试 的 质量 更 多 取决 于 测试 的 组 织 和 测试 者 的 水 平 ， 定 性 地 分 析 软 件 质量 的 
情况 居多 ， 有 一 定 的 局 限 性 。 

动态 测试 和 静态 测试 不 同 ， 它 指 的 是 在 测试 的 过 程 中 ， 实 际 运行 软件 ， 检 测 软件 的 动态 
行为 和 运行 结果 的 正确 性 。 动 态 测试 包括 两 个 基本 要 素 ， 一 是 被 测 软件 ， 二 是 在 软件 运行 过 
程 中 的 输入 数据 ， 每 一 次 测试 需要 的 测试 数据 叫做 测 斌 用例。 因此， 动态 测试 一般 在 软件 纺 
码 阶 段 完成 之 后 进行 。 动 态 测试 由 于 其 较 强 的 错误 检测 能 力 ， 受 到 广泛 采用 。 动 态 测试 的 过 
程 是 : 设计 测试 用 例 ,输入 到 程序 中 : 看 预期 结果 和 实际 运行 结果 是 否 一 样 ， 得 出 最 终结 论 。 
动态 测试 方法 中 ， 最 大 的 难点 是 测试 用 例 的 设计 ， 因 为 穷 举 性 测试 无 法 实现 。 

另 一 种 分 类 方法 是 从 对 程序 内 部 结构 的 可 见 性 来 分 ， 分 为 黑 盒 测 试 和 白 仗 测试 。 

黑 全 测试 又 称 为 功能 测试 。 用 该 方法 进行 测试 时 ， 把 被 测 程序 当 作 黑 盒 ， 测 斌 者 无 须知 
道 程序 内 部 结构 ， 只 需要 知道 程序 的 输入 以 及 输出 是 否 和 预 类 输出 相符 。 用 例 设计 方法 包括 
等 价 类 划分 法 、 边 界 值 分 析 法 和 因果 图 法 等。 

白 合 测试 又 称 结构 测试 或 闻 辑 驱动 测试 。 用 该 方法 进行 测试 时 ， 测 试 者 必须 了 解 被 测 程 
序 的 内 部 结构 ， 根 据 被 测 程序 的 内 部 构造 设计 测试 用 例 。 在 白 盒 测 试 的 过 程 中 ， 需 要 测试 用 
例 的 设计 对 被 测 程序 的 结构 做 到 一 定 程度 的 覆盖 。 常 见 的 测试 用 例 设计 方法 有 基本 路 径 法 、 
条 件 测试 法 和 循环 测试 法 等 

将 软件 测试 划分 为 静态 测试 和 动态 测试 与 划分 为 黑 盒 测试 和 白 盒 测 试 是 没有 矛盾 的 ， 丙 
种 方法 可 以 互相 渗透 与 融合 。 一 般 情况 下 ， 静 态 测试 只 利用 白 会 测试 法 ， 动 态 测试 则 使 用 了 
黑 例 测试 与 白 会 测试， 从 另 一 个 角度 看 ， 黑 盒 测试 一 般 都 用 于 动态 测试 ， 而 白 会 测试 一 般 可 
以 用 于 静态 测试 和 动态 测试 。 

2. 软件 安全 测试 的 必要 性 

安全 测试 是 在 充分 考虑 软件 安全 性 问题 的 前 提 下 进行 的 测试 ， 普 通 的 软件 测试 的 主要 目 
的 是 : 确保 软件 不 会 去 完成 没有 预先 设计 的 功能 ， 确 保 软件 能 够 完成 预先 设计 的 功能 。 但 是 ， 
安全 测试 更 有 针对 性 ， 同 时 可 能 采用 一 些 和 普通 测试 不 一 样 的 测试 手段 ， 如 攻击 和 反攻 击 技 
术 。 因 此 ， 实 际 上 ， 安 全 测试 就 是 一 轮 多 角度 、 全 方位 的 攻击 和 反攻 击 ， 目 的 就 是 要 抢 在 攻 
击 者 之 前 尽 可 能 多 地 找到 软件 中 的 漏洞， 以 减少 软件 遭 到 攻击 的 可 能 性 。 

安全 测试 基于 软件 需求 说 明 书 中 关于 安全 性 的 功能 需求 说 明 ， 测 试 的 内 容 主要 是 :软件 
的 安全 功能 实现 是 否 与 安全 需求 一 致 。 通 常情 况 下， 软件 的 安全 需求 包括 :数据 保密 和 完整 
可 用 ; 通信 过 程 中 的 身份 验证 、 授 权 、 访 问 控制 ， 通 信 方 的 不 可 抵赖 隐私 保护 、 安 全 管理 ， 
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软件 运行 过 程 中 的 安全 漏洞 等 。 

以 Web 站 点 为 例 ， 需 要 考虑 的 方面 包括 程序 本 身 的 安全 、 系 统 安全 、 数 据 库 安全 和 性 能 
安全 。 其 中 程序 本 身 的 安全 内 容 包括 用 户 权限 划分 是 否 得 当 ,、 用 户 权限 改变 是 否 会 造成 混乱 、 
用 户 数据 是 否 会 混淆 、 用 户 密码 是 否 可 以 用 某 些 手段 得 知 、 系 统 可 否 有 后 门 登录 、 是 否 进行 
了 session 检查 、 是 否 有 SQL 注入 和 跨 站 脚本 等 隐患 。 系 统 安全 的 内 容 包 括 服 务 器 是 否 存在 
漏洞 被 实施 DDoS 攻击 、 是 否 可 能 被 攻击 者 注入 木马 、 操 作 系统 是 否 安全 、 防 火 墙 和 杀毒 软 
件 是 否 齐全 有 效 等 。 数 据 库 安 全 的 内 容 包括 系统 数据 是 否 机 密 、 系 统 数据 是 否 完整 、 系 统 数 
据 是 否 进行 了 很 好 的 权限 控制 、 系 统 数据 可 备份 和 恢复 能 力 如 何等 。 性 能 安全 的 内 容 包括 系 
统 是 否 能 够 保证 每 周 7 天、 每 天 24 小 时 连续 工作 , 用 户 访问 应 用 服务 器 是 否 进行 了 优化 以 及 
对 数据 库 的 访问 是 否 实现 了 优化 。 
因此 ， 软 件 安全 测试 和 一 般 测 试 有 很 大 的 区 别 。 一 般 测 试 主要 是 确定 软件 的 功能 能 否 达 
到 ， 如 果 没 有 达到 ， 就 进行 修改 ， 其 任务 具有 一 定 的 确定 性 。 但 是 ， 安 全 测试 主要 是 检查 软 
件 实 现 的 功能 是 否 安全 可 靠 ， 需 要 证 明 的 是 软件 不 会 出 现 安全 方面 的 问题 ， 如 数据 算 改 、 非 
授权 访问 、 遭 受 DDoS 攻击 等 。 

3. 软件 安全 测试 的 过 程 

软件 的 安全 测试 ， 一 般 根据 设计 阶段 的 威胁 模型 来 实施 。 应 该 从 设计 阶段 就 开始 考虑 安 
全 问题 ， 设 计 要 尽 可 能 完善 ， 可 采用 威胁 建 模 的 方法 在 软件 设计 阶段 加 入 安全 因素 的 考量 。 
威胁 建 模 过 程 一 般 如 下 : 在 项 目 组 中 成 立 一 个 小 组 ， 该 小 组 中 的 人 员 是 项 目 组 中 对 安全 问题 
比较 了 解 的 人 ; 站 在 安全 角度 ， 分 解 系统 的 安全 需求 ， 确 定 系统 可 能 面临 的 威胁 ， 将 威胁 进 
行 分 类 ， 可 以 画 出 威胁 树 ; 选择 应 付 威胁 或 缓和 威胁 的 方法 ; 确定 最 终 解决 这 些 威胁 的 技术 。 
既然 在 设计 阶段 ， 就 将 系统 可 能 出 现 的 一 些 安全 问题 写 在 文档 里 了 ， 因 此 安全 测试 也 应 该 基 
于 这 些 内 容 。 软 件 安全 测试 的 过 程 可 分 为 以 下 几 个 步 又; 

1) 基于 前 面 设计 阶段 制定 的 威胁 模型 ， 设 计 测试 计划 。 该 过 程 一 般 基 于 威胁 树 ， 以 用 户 
口令 安全 问题 威胁 树 为 例 ， 测 试 计划 可 基于 口令 安全 可 能 遭受 的 各 个 攻击 进行 制定 。 

2) 将 安全 测试 的 最 小 组 件 单位 进行 划分 ， 并 确定 组 件 的 输入 格式 。 实际 上 , 与 传统 的 测 
试 不 同 ， 威 胁 模型 中 ， 并 不 是 所 有 的 模块 都 会 有 安全 问题 ， 因 此 只 需 将 需要 安全 测试 的 某 一 
部 分 程序 取出 来 进行 测试 ， 对 安全 测试 的 最 小 组 件 单位 进行 划分 。 此 外 ， 每 个 组 件 都 提供 了 
接口 ， 也 就 是 输入 ,在 测试 阶段 ， 测 试用 例 需要 进行 输入 ， 这 就 必须 将 每 个 接口 的 输入 类 型 、 
输入 格式 等 都 列 出 来 ， 以 便 制定 测试 用 例 。 这 些 输入 的 例子 有 Socket 数据 、 无 线 数据 、 命 令 
行 、 语 音 设备 、 串 口 和 HITP 提交 等 。 

3) 根据 各 个 接口 可 能 遇 到 的 威胁 或 系统 的 潜在 漏洞 ， 对 接口 进行 分 级 。 在 该 步骤 中 , 主 
要 是 确定 系统 将 要 受到 的 威胁 的 严重 性 ， 将 比较 严重 的 威胁 进行 优先 测试 ， 对 严重 性 的 判断 
应 该 源 于 威胁 模型 。 可 以 通过 很 多 方法 对 接口 受到 的 威胁 性 进行 分 级 ， 例 如 存在 一 种 积分 制 
方法 ， 对 各 个 接口 可 能 受到 的 各 种 威胁 进行 积分 ， 最 后 累加 ， 优 先 测试 那些 分 数 排 在 前 面 的 
接口 。 

4) 确定 输入 数据 ， 设 计 测试 用 例 。 每 个 接口 可 以 输入 的 数据 都 不 相同 ， 由 于 安全 测试 不 
同 于 普通 的 测试 , 因此 还 要 更 加 精心 地 设计 测试 用 例 。 有 时 候 还 要 精心 设计 输入 的 数据 结构 ， 
如 随机 数 、 集 合 等 的 设计 ， 都 必须 是 为 安全 测试 服务 的 。 在 测试 用 例 的 设计 过 程 中 ， 安 全 测 
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试 实际 上 是 对 程序 进行 的 安全 攻击 。 因 此 ， 不 但 数据 本 身 需 要 精心 设计 ， 测 试 方案 也 要 精心 
设计 。 如 在 对 缓冲 区 溢出 的 测试 中 ， 必 须 精心 设计 各 种 输入 ， 从 不 同方 面 对 程 序 进行 攻击 。 
如 上 面 网 站 中 可 以 设计 的 测试 用 例 内 容 如 下 : 针对 用 户 权限 划分 的 测试 ， 使 用 各 种 权限 登录 
并 操作 的 方案 ， 针 对 用 户 密码 的 测试 ， 使 用 猜测 密码 ， 查 看 数据 库 密码 保存 的 方案 ， 针 对 系 
统 可 否 有 后 门 登录 的 测试 ,使 用 尝试 各 种 登录 方法 的 方案 ; 针对 session 检查 的 测试 ， 使 用 不 
登录 进行 操作 的 方案 ， 针 对 DDoS 攻击 的 测试 ， 使 用 反复 进行 DDoS 攻击 的 方案 ， 针 对 木马 
注入 的 测试 ， 使 用 注入 木马 的 方案 ， 针 对 防火 墙 和 杀毒 软件 的 测试 ， 使 用 注入 病毒 的 方案 ; 
针对 系统 数据 可 备份 和 恢复 能 力 的 测试 ， 使 用 数据 破坏 的 方案 ; 针对 保证 每 周 7 天 、 每 天 24 
小 时 连续 工作 的 测试 ， 使 用 持续 运行 足够 时 间 的 方案 。 
5) 攻击 应 用 程序 ,查看 效果 。 用 设计 的 测试 用 例 攻击 应 用 程序 ， 使 得 系统 处 于 一 种 受到 
威胁 的 状态 ， 得 到 输出 。 
6) 总 结 测试 结果 ， 提 出 解决 方案 。 本 过 程 中 ， 将 预期 输出 和 实际 输出 进行 比较 ， 得 出 结 
论 ， 写 出 测试 报告 ， 最 后 提交 相应 的 人 员 ， 解 决 错误 。 
以 上 是 一 般 的 测试 过 程 。 近 年 来 ， 在 软件 安全 性 测试 领域 还 出 现 了 一 些 研究 成 果 ， 使 用 
计算 机 来 进行 自动 测试 ， 这 些 成 果 主 要 包括 以 下 4 个 方面 
e 用 形式 化 方法 执行 安全 测试 ， 该 方法 用 状态 迁移 系统 描述 软件 的 行为 ， 将 软件 的 功 
能 用 计算 逻辑 和 逻辑 演算 来 表达 ， 通 过 逻辑 上 的 推理 和 搜索 来 发 现 软件 漏洞 。 
e 基于 模型 的 安全 功能 测试 ， 在 该 方法 中 ， 首 先 对 软件 的 结构 和 功能 进行 建 模 ， 生 成 
测试 模型 ， 然 后 利用 测试 模型 导出 测试 用 例 。 该 方法 成 功 与 否 取 决 于 建 模 的 准确 性 ， 
对 身份 验证 、 访问 控制 等 情况 下 的 安全 测试 比较 适用 。 常 用 模型 有 UML 模型 和 马尔 
可 夫 链 模型 等 。 
e 基于 输入 语法 进行 测试 。 接 口 的 输入 语法 ， 定 义 了 软件 接受 的 输入 数据 的 类 型 、 格 
式 等 。 该 类 方法 中 ， 首 先 提取 被 测 接口 的 输入 语法 ， 如 命令 行 、 文 件 、 环 境 变量 、 
套 接 字 等 ， 然 后 根据 这 些 语法 ， 生 成 测试 用 例 。 此 类 测试 方法 比较 适用 于 被 测 软件 
有 较 明确 的 接口 语法 的 情况 ， 范 围 较 窜 。 
。 采用 随机 方法 进行 测试 。 该 方法 又 称 为 模糊 测试 ， 将 随机 的 不 合法 数据 输入 到 程序 
中 ， 有 时 能 发 现 一 些 意 想不到 的 错误 ， 在 安全 性 测试 中 越 来 越 受到 重视 。 
软件 测试 是 软件 工程 中 研究 比较 活跃 的 一 个 分 支 ， 针 对 安全 测试 的 研究 也 受到 较 多 学 者 
的 重视 。 有 关 一 些 安 全 测试 方面 的 最 新 进展 ， 读 者 可 以 参考 相关 文献 。 比 较 热门 的 方向 包括 
权限 系统 的 自动 测试 、 形 式 化 方法 对 测试 用 例 的 表达 、 分 布 式 环境 下 的 测试 和 云 计 算 环境 下 
的 测试 等 。 
4. 安全 审查 
安全 审查 是 指 对 软件 产品 进行 安全 方面 的 人 工 检查 ， 是 软件 质量 保证 的 一 个 重要 环节 ， 
主要 包括 代码 的 安全 审查 、 配 置 复查 和 文档 的 安全 审查 。 


1) 代码 的 安全 审查 

代码 的 安全 审查 是 审查 小 组 人 工 测试 源 程序 的 过 程 ， 是 一 种 非常 有 效 的 程序 安全 验证 技 
术 , 在 代码 的 安全 审查 过 程 中 ， 首 先 组 建 代 码 的 安全 审查 小 组 ， 最 好 由 如 下 人 员 组 成 : 组 长 ， 
应 该 是 一 名 很 有 能 力 的 程序 员 ; 程序 的 设计 成 员 ， 程序 的 编写 成 员 ， 程序 的 测试 成 员 。 
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代码 安全 审查 的 步骤 如 下 : 小 组 成 员 先 研究 设计 说 明 书 ， 力 求 理解 软件 的 设计 ， 然 后 重 
点 针对 威胁 模型 进行 讨论 ; 由 设计 者 介绍 威胁 模型 中 的 一 些 细节 ; 程序 的 编写 者 逐个 模块 地 
解释 是 怎样 用 程序 代码 解决 威胁 模型 中 提出 的 解决 方案 的 ; 对 照 安全 程序 设计 和 常见 错误 ， 分 
析 审 查 程序 ;发 现 错误 时 记录 错误 ， 继 续 审查 。 


2) 配置 复查 

软件 配置 实际 上 是 软件 需求 规格 说 明 、 软 件 设 计 规 格 说 明 、 源 代码 等 的 总 称 ， 配 置 复查 
实际 上 是 软件 验收 测试 的 重要 内 容 。 配 置 复查 需要 保证 如 下 内 容 : 软件 配置 的 所 有 成 分 都 齐 
全 ;软件 配置 质量 符合 要 求 ; 文档 与 程序 完全 一 致 ， 具有 完成 软件 维护 所 必须 准备 的 细节 ; 
使 用 手册 的 完整 性 和 正确 性 等 。 

软件 配置 复查 的 过 程 中 ， 必 须 仔细 记录 发 现 软件 安全 测试 过 程 中 的 安全 遗漏 或 错误 ， 并 
且 适 当地 补充 和 改正 。 


3) 文档 的 安全 审查 

文档 在 软件 工程 中 非常 重要 。 对 用 户 来 说 ， 软 件 事实 上 就 是 文档 ， 因 此 文档 是 影响 软件 
质量 的 决定 因素 ， 有 时 可 以 说 ， 文 档 比 程序 代码 更 重要 。 在 文档 中 ， 关 于 安全 问题 的 描述 不 
能 忽视 ， 必 须 进行 审查 。 软 件 系统 的 文档 可 分 为 两 类 用 户 文档 和 系统 文档 。 

用 户 文档 主要 描述 系统 功能 和 使 用 方法 ， 而 并 不 关心 这 些 功能 是 怎样 实现 的 。 用 户 文档 
是 用 户 了 解 系统 的 第 一 步 ， 它 应 该 能 使 用 户 获得 对 系统 的 准确 的 初步 印象 。 用 户 文档 至 少 应 
该 包括 下 述 5 方面 的 内 容 : 

1) 功能 描述 ， 说 明 系统 的 功能 ， 

2) 安装 文档 , 说 明 怎样 安装 这 个 系统 , 怎样 对 系统 进行 配置 , 使 其 适应 特定 的 运行 环境 ; 

3) 使 用 手册 ,说 明 系 统 使 用 方法 ， 用户 应 该 可 以 通过 这 个 文档 学 会 系统 的 使 用 ,可 通过 
例子 或 图 形 化 方法 表达 这 些 问 题 ， 

4) 参考 手册 ,详尽 描述 软件 中 提供 给 用 户 使 用 的 所 有 系统 设施 及 其 使 用 方法 。 另 外， 参 
考 手 册 中 还 应 该 解释 系统 可 能 产生 的 各 种 输出 信息 ， 如 出 错 信息 的 含义 ; 

5) 操作 员 指 南 ， 指 示 操 作 员 应 该 如 何 处 理 使 用 过 程 中 出 现 的 一 些 情况 。 用 户 文档 可 分 别 设 
立 独 立 的 文档 ， 也 可 以 设置 为 大 文档 的 各 个 分 册 ， 有 具体 做 法 根据 系统 的 复杂 性 确定 。 

系统 文档 指 从 问题 可 行 性 分 析 、 问 题 定义 、 需 求 分 析 、 系 统 总 体 设 计 、 详 细 设 计 到 测试 
和 测试 报告 这 样 一 系列 与 工作 有 关 的 文档 。 系 统 文档 描述 了 系统 从 设计 到 实现 ， 最 后 到 测试 
的 过 程 。 该 部 分 的 文档 包括 可 行 性 研究 报告 、 需 求 分 析 说 明 书 、 总 体 设计 说 明 书 、 详 细 设 计 
说 明 书 、 测 试 计划 和 测试 报告 。 文 档 的 安全 审查 是 针对 软件 项 目 中 的 安全 问题 进行 的 审查 ， 
此 过 程 中 ， 主 要 进行 的 工作 是 、 根 据 威胁 模型 ， 在 各 个 文档 中 审查 是 否 进行 了 良好 的 表达 。 
比如 : 用 户 文档 中 是 否 含有 解决 安全 问题 相关 的 措施 , 来 提示 用 户 的 操作 尽 可 能 保证 安全 性 ; 
系统 文档 中 是 否 对 所 有 安全 问题 进行 了 解决 ， 并 用 清晰 的 表达 方式 描述 出 来 。 


1.3 ”软件 安全 相关 标准 


在 项 目 起 始 阶段 ， 必 须 考虑 软件 需要 遵守 的 安全 规则 和 规章 。 在 项 目 实施 阶段 ， 必 须 遵 
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循 软件 安全 的 原则 。 本 节 最 后 将 介绍 与 软件 安全 相关 的 国际 标准 。 
1.3.1 安全 规则 与 规章 


一 些 相关 规章 包括 : 符合 Web 应 用 程序 安全 标准 (WASS)， 服 从 HIPPAA 隐私 和 安全 规 
章 ， 或 满足 联邦 信息 安全 管理 法 案 (FISMA) 标 准 ， 或 需要 满足 支付 卡 行业 数据 安全 标准 
(Payment Card Industry Data Security Standard)， 或 遵守 金融 现代 化 条 例 (The Graham- 
Leech-Bliley) 以 及 GRC(Governance Risk management and Compliance)、 PCI(Payment Card 
Industry)、SOX(Sarbanes-Oxley Act，SOX 法 案 ) 相 关 标 准 。 


1. OWASP 的 WASS 


OWASP( 开 放 式 Web 应 用 程序 安全 计划 组 织 ) 制 定 了 一 些 安全 标准 ， 如 ISO 17799， 即 信 
息 安全 管理 国际 标准 ， 这 是 一 个 由 国际 标准 化 组 织 发 布 的 、 便 于 采用 和 理解 的 标准 。 这 项 标准 
却 极 少 具体 应 用 于 与 管理 安全 的 Web 站 点 相关 的 工作 中 。 在 实现 了 一 个 安全 的 Web 应 用 程序 
后 ， 信 息 安 全 管理 就 不 可 避免 。 虽然 ISO 17799 在 标识 应 考虑 的 策略 和 过 程 方面 做 出 了 卓越 的 
贡献 ， 但 这 一 标准 并 没有 解释 这 些 策略 和 过 程 应 该 如 何 实现 ， 也 没有 给 出 相关 的 工具 。 它 只 是 
关于 应 该 考虑 哪些 策略 和 过 程 的 指南 ， 并 且 没有 强制 要 求实 现 提 到 的 所 有 策略 和 过 程 。 

OWASP 还 推荐 了 以 下 安全 标准 : Web 应 用 程序 安全 标准 (WASS), 计划 组 织 创 建 一 组 最 
小 化 集合 的 提案 ,要 求 那些 处 理 信 用 卡 信息 的 Web 应 用 程序 必须 体现 出 这 些 要 求 。 本 计划 的 
目标 是 开发 “专用 的 ”、“ 可 测试 的 ”准则 ， 这 些 准 则 要 能 作为 独立 存在 的 安全 标准 ， 或 者 
集成 到 现 有 的 安全 标准 ， 比 如 集成 到 持 卡 人 信息 安全 规划 (Cardholder Information Security 
Program，CISP)， 这 是 一 个 厂商 中 立 及 技术 中 立 的 标准 。 通 过 对 照 这 一 标准 进行 测试 ， 能 够 
判定 在 某 个 基于 Web 的 应 用 程序 开发 中 , 是 否 遵循 了 最 低 限 度 的 安全 过 程 , 是 否 坚持 遵守 了 
最 佳 实践 。 

2. HIPPA 


HIPPA/1996 法 案 是 美国 国会 于 1996 年 制定 的 。 根 据 医 疗 保险 制度 和 医疗 服务 中 心 的 网 
站 信息 ，HIPPA 的 目的 之 一 是 保障 工人 在 更 换 工作 或 失去 工作 时 他 们 及 其 家 人 的 健康 保险 。 
HIPPA 的 目的 之 二 是 为 了 简化 管理 ， 即 为 电子 健康 事务 和 国家 范围 内 的 身份 识别 建立 国家 标 
准 ， 以 服务 于 供应 商 、 健 康 保险 计划 和 雇主 ， 帮 助人 们 保护 健康 信息 的 私密 性 ， 在 简化 管理 
的 同时 还 解决 健康 数据 的 安全 性 和 私密 性 。 这 些 标准 是 为 了 改善 国家 卫生 保健 体系 的 效果 和 
可 行 性 而 鼓励 在 美国 的 保健 体系 中 广泛 使 用 电子 数据 交换 。 

美国 公民 权利 办 公 室 负责 执行 的 HIPPA 隐私 规则 保护 个 人 标识 健康 信息 的 私密 性 ; 
HIPPA 安全 规则 是 为 电子 保护 的 健康 信息 安全 而 设立 的 国家 标准 HIPAA 隐私 规则 规定 , 联 
邦 政府 个 人 健康 信息 由 相关 机 构 来 保护 ， 并 提供 一 系列 关于 这 些 信息 的 权利 。 同 时 ， 隐 私 规 
则 兼顾 了 当 个 人 健康 信息 对 病人 的 医疗 和 其 他 重要 用 途 有 帮助 时 可 以 被 披露 。 安 全 规则 规定 
了 一 系列 为 相关 机 构 提 供 关于 行政 保护 、 物 理性 保护 和 技术 性 保护 的 规则 ， 以 确保 电子 保护 
信息 的 机 密 性 、 完 整 性 和 可 用 性 。 

管理 (administrative) 规 则 定义 了 实体 应 该 遵守 的 策略 和 过 程 ， 例 如 相关 机 构 (必须 遵守 
HIPAA 要 求 的 机 构 ) 必 须 保护 隐私 并 指派 一 名 可 以 对 开发 负责 和 能 实现 所 有 需求 策略 的 隐私 
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官员 。 程序 应 该 明确 员工 或 员工 的 等 级 来 确定 谁 可 以 访问 受 保护 的 电子 健康 信息 (EPHI 
Electronic Protected Health Infonmation)。 访 问 EPHI 必须 只 限于 那些 需要 用 其 来 完成 工作 职能 
的 雇员 。 这 些 程序 必须 处 理 访问 授权 、 编 制 、 修 改 和 终止 。 物 理 (physical) 规 则 定义 了 如 何 控 
制 物 理 访问 来 阻止 对 保护 数据 的 不 恰当 的 访问 ， 例 如 控制 机 构 必 须 支 配 从 网 络 中 引入 和 移 除 
硬件 和 软件 ( 当 设 备 老化 时 必须 妥善 处 理 ， 以 确保 PHI 不 泄密 )。 当 有 权 使 用 包含 健康 信息 的 
设备 时 应 该 审慎 控制 和 监督 。 访 问 硬件 和 软件 时 ， 必 须 确保 是 正确 的 授权 者 。 

技术 (technical) 规 则 定义 了 如 何 控制 对 计算 机 系统 的 访问 , 以 及 实体 如 何 保护 在 公共 网 络 
上 传输 的 包含 PHI 信息 的 通信 ， 以 阻止 通信 被 非 预 想 的 接收 者 之 外 的 攻击 者 劫持 。 例 如 PHI 
信息 系统 所 在 地 点 必须 进行 妥善 保护 ， 以 免 入 侵 。 当 信息 在 网 络 上 公开 传送 时 必须 利用 某 种 
加 密 方式 进行 加 密 。 如 果 网 络 系统 是 封闭 的 ， 必 须 充分 考虑 以 及 提供 可 选 的 加 密 方式 。 任 何 
相关 机 构 必须 负责 确保 自己 系统 的 数据 没有 被 以 未 授权 者 的 形式 改变 或 擦 除 。 数 据 佐证 ， 包 
括 利 用 校 验 和 、double-keying、 消 息 认证 和 数字 签名 可 以 用 来 确保 数据 的 完整 性 。 相 关机 构 
必须 验证 其 通信 的 实体 。 认 证 包括 证 实 ， 一 个 实体 是 谁 声 明 的 。 佐 证 的 例子 包括 密码 系统 、 
双向 或 三 方 握手 系统 、 电 话 回 拨 和 令 牌 系统 。 


3. FISMA 


联邦 信息 安全 管理 法 案 (FISMA, Federal Information Security Management Act of 2002) 是 
美国 联邦 法 2002 年 以 第 三 版 E-Govemment 的 标题 颁布 ， 该 法 案 承 认 信 息 安全 对 国家 经 济 和 
国家 安全 利益 的 重要 性 。 该 法 案 要 求 每 个 联邦 机 构 为 信息 和 信息 系统 的 开发 、 文 件 和 实现 机 
构 提 供 信 息 安 全 保护 ， 保 障 其 运营 和 资产 ， 其 中 包括 提供 者 或 男 一 个 机 构 、 承 包 人 或 其 他 资 
产 。FISMA 已 经 引起 了 联邦 政府 对 网 络 安全 的 注意 ， 并 明确 强调 了 以 风险 为 基础 的 成 本 效益 
安全 政策 。FISMA 要 求 代 理 官员 、 信 息 安 全 主管 和 监察 长 进行 年 度 安全 程序 审查 并 把 结果 向 
管理 和 预算 办 公 室 做 报告 (OMB，Office of Management and Budget)。OMB 使 用 这 些 数据 来 协 
助 其 监督 职责 并 用 其 编写 年 度 报告 给 国会 , 2008 年 联邦 政府 在 安全 方面 总 共 花 费 62 亿美 元 。 


1) 法 案 的 目的 

FISMA 负责 把 各 种 责任 分 配给 各 联邦 部 门 。 美 国 国家 标准 技术 研究 院 (NIST) 以 及 管理 和 
预算 办 公 室 (OMB) 负 责 加 强 信息 系统 安全 。 特 别 是 ， FISMA 要 求 各 个 机 构 领导 执行 政策 和 程 
序 时 以 一 种 低 开销 、 及 时 和 有 效 的 方式 把 风险 控制 在 可 接受 的 范围 之 内 。 按 照 FISMA， 信息 
安全 措施 意味 着 保护 信息 和 信息 系统 免 受 未 授权 者 的 侵入 、 利 用 、 披 露 、 破 坏 、 修 改 以 保障 
其 完整 性 、 保 密 性 和 可 用 性 。 


2) FISMA 的 实现 

与 FISMA 一 致 ， NIST 负责 开发 标准 、 指 导 方 针 以 及 相关 联 的 方法 和 技术 ， 为 所 有 部 门 
运营 和 资产 提供 足够 的 信息 安全 保障 , 不 包括 国家 安全 系统 。NIST 与 联邦 机 构 密切 配合 来 提 
升 他 们 对 实现 FISMA 的 理解 ， 从 而 保护 它们 的 信息 和 信息 系统 ， 并 且 提 供 强大 信息 安全 基 
础 的 标准 和 指导 方针 。NIST 通过 计算 机 安全 部 门 的 信息 技术 来 履行 其 法 定 职 责 。 


3) FISMA 项 目 实 施 
国家 漏洞 数据 库 QNVD) 是 美国 政府 为 自动 化 信息 安全 计划 GSAP) 淮 备 的 内 容 仓 库 ， 数 据 
库 中 的 数据 能 帮助 实现 漏洞 管理 、 安 全 测量 和 服从 的 自动 化 。 
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1.3.2 ”软件 安全 的 原则 


类 似 密码 学 领域 的 安全 原则 Kohoff: 密码 系统 的 安全 性 应 该 建立 在 只 是 对 密 钥 的 保密 之 
上 ， 即 假定 攻击 者 是 知道 加 密 算法 的 。 软 件 安全 方面 也 有 一 些 相 应 的 指导 原则 。 


原则 1: 让 最 弱 的 环节 变 得 安全 

首先 使 得 安全 性 最 薄弱 的 环节 变 得 安全 。 安 全 实践 者 通常 认为 : 安全 是 一 个 链条 ， 其 安 
全 性 由 最 弱 之 处 决定 。 软 件 的 安全 由 最 弱 的 组 件 决定 。 攻 击 者 选择 系统 中 最 弱 的 地 方 攻击 ， 
因为 那里 最 容易 攻破 。 攻 击 者 最 可 能 攻击 一 个 软件 系统 中 的 一 个 弱点 ， 而 不 是 试图 穿 透 一 条 
坚固 的 防线 。 例 如 : 一 些 密码 算法 需要 很 多 年 的 时 间 攻 破 ， 因 此 攻击 者 不 会 攻击 一 个 网 络 中 
的 加 密 信 道 ， 取 而 代 之 ， 一 个 通信 端点 可 能 更 容易 攻破 。 知 道 软件 弱点 何 时 被 加 固 ， 意 味 软 
件 开发 者 知道 软件 能 否 足够 安全 地 发 布 。 


原则 2: 实践 纵深 防御 
分 层 的 安全 防御 措施 能 够 减少 攻击 的 成 功 概率 。 使 用 见 余 的 安全 机 制 使 得 攻击 者 难以 攻 
克 所 有 的 防御 机 制 。 例 如 软件 系统 使 用 认证 检查 来 防止 攻击 者 穿 透 防火 墙 。 使 用 多 层 防御 
能 够 阻止 单一 失效 点 的 发 生 ， 单 一 失效 点 往往 也 是 承担 所 有 安全 防御 任务 的 安全 焦点 。 


原则 3: 安全 的 错误 退出 

当 系统 发 生 错误 时 ， 系 统 应 该 安全 地 退出 。 通 常 包括 以 下 几 点 : 安全 的 默认 设置 (如 停止 
被 访问 ); 撤消 前 面 的 操作 直到 恢复 到 安全 状态 ; 检查 错误 返回 值 等 。 系 统 的 私密 性 和 完整 性 
应 该 继续 保持 ， 即 使 是 可 用 性 已 经 被 破坏 。 在 系统 失效 期 间 ， 攻 击 者 必须 不 被 允许 访问 需要 
特殊 权限 访问 的 对 象 。 由 于 系统 在 失效 期 间 给 潜在 攻击 者 透露 的 敏感 信息 可 能 导致 新 的 攻击 ， 
因此 必须 正确 定义 系统 失效 时 的 行为 。 任 何 复杂 的 系统 都 应 该 有 错误 模式 。 错 误 是 无 法 避免 
的 , 应 该 事先 计划 的 是 当 错 误 发 生 时 哪些 安全 问题 需要 避免 。 当 有 很 多 系统 发 生 各 种 错误 时 ， 
可 能 表现 出 不 安全 的 行为 。 这 样 ， 攻 击 者 只 需要 导致 错误 ， 或 者 等 待 错误 的 发 生 ， 然 后 就 可 
以 根据 系统 在 错误 处 理 时 的 不 安全 行为 发 起 攻击 。 


原则 4: 最 小 权限 原则 

仅 将 所 需 权 限 的 最 小 集 授权 给 需要 访问 资源 的 主体 ， 并 且 权限 的 持续 时 间 应 该 尽量 短 。 
给 用 户 不 必要 的 (过 多 的 ) 权 限 通常 导致 信息 被 泄漏 和 不 必要 的 改变 。 因 此 ， 精 准 的 访问 权限 
分 配 将 减少 对 系统 的 破坏 。 


原则 5: 权限 分 离 原则 

权限 分 离 原 则 的 解释 是 : 可 行 的 情况 下 ， 保 护 机 制 需 要 两 个 钥匙 来 开 一 把 锁 将 比 使 用 
把 钥匙 要 更 加 可 靠 和 灵活 。 这 一 观察 早 在 1973 年 便 由 R. Needham 提出 。 基 本 思想 是 : 一 旦 
被 锁 ， 这 两 把 “钥匙 ”可 以 是 由 物理 上 分 离 的 或 是 完全 不 同 的 程序 来 负责 。 从 此 将 没有 单一 
的 偶然 事件 、 伪 装 或 受托 人 单方 违背 而 造成 对 保护 信息 的 损害 。 这 条 原则 经 常用 于 银行 安全 
保险 箱 ， 同 时 在 核武 器 防御 系统 上 也 有 应 用 ， 只 有 两 个 不 同 的 人 同时 给 出 了 正确 的 命令 时 导 
弹 才 能 被 发 射 。 在 计算 机 系统 中 ， 分 离 “ 钥 匙 ”是 指 当 两 个 或 两 个 以 上 的 条 件 满足 时 访问 才 
能 被 允许 。 系 统 在 授权 访问 某 个 对 象 时 应 该 确保 多 个 条 件 得 到 满足 ， 通 过 检查 单一 条 件 来 决 
定 是 否 访问 对 强 安全 性 来 说 不 够 充分 。 如 果 攻 击 者 能 够 获得 一 个 特权 但 没有 第 二 个 ， 将 不 能 
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发 起 有 效 攻击 。 如 果 软 件 系统 主要 由 一 个 组 件 组 成 ， 那 么 使 用 多 种 检查 措施 访问 不 同 组 件 的 
想法 将 无 法 实现 。 


原则 6: 保护 机 制 的 经 济 性 

评价 系统 安全 时 的 一 个 因素 是 复杂 性 。 如 果 设 计 、 实 现 或 安全 机 制 非常 复杂 ， 那 么 安全 
弱点 存在 的 可 能 性 将 会 增加 。 复 杂 系 统 中 的 微妙 问题 可 能 很 难 发 现 ， 特 别 是 在 有 大 量 代码 存 
在 的 情况 下 。 一 个 策略 是 使 用 控制 点 来 简化 代码 ， 使 用 公共 的 功能 函数 能 减少 代码 数量 ， 程 
序 设计 者 和 开发 人 员 都 应 该 设法 使 系统 尽量 简化 。 尽 可 能 考虑 重用 组 件 ， 只 要 被 重用 的 组 件 
是 高 质量 的 就 建议 这 样 做 。 如 果 成 功 地 应 用 组 件 ， 代 码 量 就 会 减少 。 这 种 思想 特别 适用 于 密 
码 库 。 在 已 有 大 量 可 用 的 密码 库 的 情况 下 ， 不 必 重 新 实现 AES 或 SHA-1。 被 广泛 使 用 的 密 
码 库 要 比 组 织 内 部 使 用 的 密码 库 更 健壮 。 当 然 , 即使 是 被 广泛 使 用 的 组 件 ， 也 可 能 出 现 问题 。 


原则 7: 最 小 共性 机 制 

避免 多 个 主体 通过 共享 机 制 有 权 使 用 同一 资源 。 例 如 ， 互 联网 上 的 服务 应 用 程序 同时 多 
许 攻击 者 和 用 户 获 得 访问 权 。 敏 感 信息 可 能 通过 这 种 机 制 在 不 同 用 户 之 间 共享 。 不 同 的 机 制 
对 不 同 的 主体 提供 灵活 的 访问 控制 ， 防 止 只 有 一 种 机 制 实现 时 的 可 能 出 现 的 安全 问题 。 


原则 8: 勉强 信任 原则 

开发 者 应 该 认为 他 们 系统 所 在 的 环境 是 不 安全 的 。 无 论 是 外 部 系统 、 代 码 、 人 员 等 ， 都 
应 该 被 时 刻 关注 。 当 开发 一 个 应 用 程序 时 ， 软 件 工程 师 应 该 预先 考虑 未 知 用 户 输入 的 所 有 可 
能 情况 。 即 使 用 户 是 已 知 的 ， 也 要 怀疑 其 可 能 发 起 社会 工程 攻击 ， 也 要 把 他 们 的 威胁 加 以 考 
虑 ， 没 有 系统 是 完全 安全 的 ， 所 以 两 个 系统 之 间 的 接口 应 该 紧 固 。 最 小 化 对 其 他 系统 的 信任 
可 以 加 强 自身 应 用 程序 的 安全 性 。 


原则 9: 秘密 的 不 安全 性 假设 

应 该 始终 假设 ， 攻 击 者 能 够 获得 关于 系统 的 足够 信息 并 且 发 起 攻击 。 汇 编 和 反 编译 器 等 
可 以 帮助 攻击 者 获得 可 能 存储 在 二 进 制 文件 中 的 敏感 信息 。 同 样 ， 内 部 攻击 可 能 是 偶然 的 或 
恶意 的 ， 并 将 导致 敏感 信息 被 利用 。 使 用 成 熟 的 保护 机 制 来 保证 敏感 信息 的 机 密 性 。 


原则 10: 完全 仲裁 

当主 体 请 求 访问 时 ， 软 件 系统 需要 检查 每 个 对 象 ， 特 别 是 关系 重大 的 对 象 ， 减 小 错误 地 
授权 导致 主体 权限 提升 的 机 会 。 系 统 检查 主体 对 象 的 访问 许可 仅 有 一 次 的 话 ， 将 被 攻击 者 利 
用 ， 应 该 在 每 次 访问 时 都 检查 。 如 果 主体 的 访问 控制 权限 在 第 一 次 授权 后 减少 了 ， 并 且 系统 
没有 在 第 二 次 访问 时 检查 ， 就 发 生 了 一 次 访问 权限 违例 。 短 时 间 保存 权限 信息 可 以 提高 系统 
性 能 ， 但 可 能 付出 越权 访问 的 代价 。 


原则 11: 心理 接受 能 力 

安全 机 人 制 不 应 该 阻止 资源 的 可 访问 性 ， 如 果 安 全 机 人 制 阻碍 资源 的 可 用 性 和 可 访问 性 ， 
用 户 可 能 选择 关闭 这 些 机 制 。 在 可 能 的 情况 下 ， 安 全 机 制 对 系统 用 户 应 该 是 透明 的 或 只 有 
极 小 的 使 用 阻碍 。 安 全 机 制 应 该 对 用 户 很 “友好 ”， 从 而 让 用 户 便利 使 用 ， 方 便 用 户 对 程 
序 的 理解 。 
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原则 12: 保护 隐私 

保护 软件 私密 信息 免 受 攻 击 者 窃取 是 软件 安全 一 个 非常 重要 的 方面 。 如果 攻击 者 破解 一 
个 软件 系统 并 盗 取 客户 的 私密 信息 ， 用 户 会 对 这 个 软件 系统 失去 信心 。 攻 击 者 也 可 以 攻击 敏 
感 系统 信息 ， 从 而 提供 给 其 他 攻击 者 。 防 止 攻击 者 访问 私密 信息 或 混淆 这 些 信息 可 以 降低 信 
息 泄漏 的 危险 。 


1.3.3 ”软件 安全 相关 的 国际 标准 


软件 质量 标准 : ISO 9000 系列 标准 是 ISO 国际 标准 化 组 织 176 技术 委员 会 (TC/176) 制 
定 的 国际 标准 ， 其 核心 思想 是 质量 保证 标准 ISO 9001/2/3 和 质量 管理 标准 ISO 90040， 前 者 
是 “ 需 方 对 供 方 要 求 质量 保证 ”的 标准 ， 后 者 是 用 于 “ 供 方 建立 质量 保证 体系 ”的 标准 。 
ISO 9000 标准 是 为 制造 硬件 产品 而 制定 的 标准 ,ISO 试图 修改 ISO 9001 用 于 软件 开发 方面 ， 
但 效果 不 佳 。 于 是 ， 另 行 制定 出 9000-3 标准 ， 用 于 软件 开发 、 供 应 及 维护 的 指南 。 我 国 制 
定 了 CB/T 19000 国家 标准 ， 该 标准 等 同 于 ISO 9000 标准 。 这 两 个 标准 在 内 容 上 基本 上 是 
对 应 的 。 

ISO 9000-3 标准 是 ISO 质量 管理 和 质量 保证 标准 在 软件 开发 .供应 和 维护 中 的 使 用 指南 ， 
并 不 作为 质量 体系 注册 、 认 证 时 的 评估 准则 ， 主 要 考虑 软件 行业 的 特殊 性 制定 的 标准 ， 其 核 
心 内 容 包括 : 合同 评审 、 需 方 需求 规格 说 明 、 开 发 计划 、 质 量 计 划 、 设 计 和 实现 、 测 试 和 确 
认 、 验 收 、 复 制 、 交 付 和 安装 维护 。 

ISO/TEC 9000-3 是 国际 标准 化 组 织 国际 电 工 技术 委员 会 用 于 软件 产品 和 相关 服务 的 质量 
管理 标准 (Quality Management Standard)， 新 的 ISO IEC 9000-3 2004 标准 于 2004 年 2 月 15 日 
公布 ， 原 有 的 ISO 9000-3 1997 软件 标准 作废 。 

ISO/IEC 9000-32004 是 软件 工程 标准 JSO 9001 2000 的 指导 标准 。 它 提供 对 应 用 ISO 9001 
2000 标准 的 指导 ， 例 如 获得 、 供 应 、 开 发 、 操 作 和 维护 计算 机 软件 相关 支持 服务 。 它 并 没有 
增加 或 改变 ISO 9001 2000 的 要 求 ， 应 用 该 标准 对 包括 商业 软件 、 组 织 软件 、 硬 件 嵌 入 软件 
以 及 相关 软件 服务 等 是 合适 的 。 有 些 组 织 可 能 参与 所 有 这 些 行 为 ， 有 的 组 织 只 是 参与 某 个 领 
域 。 无 论 哪 种 情况 ， 组 织 的 质量 管理 系统 都 应 该 搜索 所 有 的 软件 相关 以 及 不 相关 的 方面 。 该 
标准 确定 了 应 该 解决 的 一 些 问题 ， 这 些 问题 独立 于 该 组 织 采用 的 技术 、 生 命 周 期 模型 、 开 发 
过 程 、 行 为 次 序 以 及 组 织 结构 。 软 件 工 程 标准 ISO/IEC JTC 1/SC7 通常 作为 补充 和 人 参考， 这 
些 标 准 包 括 ISO/IFX 12207、 ISO/IEC TR 9126、 ISO/TEC 14598、 ISO/TEC 15939 和 ISO/TEC TR 
15504。 另 外 ， 早 在 1996 年 ， 美 国 国防 部 颁发 了 安全 编程 标准 : MIL-STD482B 系统 安全 编 
程 需求 (System Safety Program Requirements)。 


1.4 本 章 小 结 


本 章 简要 介绍 了 软件 安全 问题 的 现状 ， 包 括 恶意 软件 、 漏 洞 、 威 胁 等 的 统计 数据 ， 明 确 
了 软件 安全 的 概念 和 研究 的 内 容 ， 并 从 多 个 方面 (如 软件 工程 、 软 件 保证 、 软 件 质量 、 软 件 可 
靠 性 等 ) 介 绍 了 与 软件 安全 相关 的 领域 ， 以 帮助 读者 明确 软件 安全 的 内 涵 和 外 延 。 本 章 还 介绍 
了 一 些 基本 概念 和 专 有 名 称 ， 用 于 相关 背景 的 复习 ， 并 介绍 了 常用 的 安全 工具 和 针对 软件 安 
全 问题 的 测试 方法 。 最 后 介绍 了 软件 安全 相关 标准 ， 包 括 安全 规则 与 规章 、 软 件 安全 的 原则 
和 软件 安全 相关 的 国际 标准 。 
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本 章 导读 
本 章 主 要 介绍 计算 机 软件 安全 的 设计 流程 、 安 全 的 软件 开发 周期 ， 并 阐述 了 规范 的 安 
全 软件 在 不 同 的 开发 阶段 需要 的 不 同 侧重 点 ， 详 细 描 述 安全 软件 开发 中 会 遇 到 的 问题 和 解 
应 掌握 的 知识 要 点 : 


安全 的 软件 开发 周期 ; 
安全 原则 、 规 则 及 规章 ; 
安全 需求 : 攻击 用 例 ; 

架构 和 设计 评审 /威胁 建 模 ; 
安全 的 编码 原则 ; 

白 盒 / 黑 盒 / 灰 盒 测试 ; 
判定 可 利用 性 ; 
安全 地 部 署 应 用 程序 ; 

对 安全 漏洞 进行 管理 ; 
软件 安全 编程 。 


2.1 安全 的 软件 开发 周期 


在 传统 的 软件 开发 生命 周期 (SDLC，Software Development Lifecycle) 中 ， 安 全 测试 往往 
是 一 种 事后 反应 ， 即 安全 检验 和 测试 工作 总 是 被 拖延 到 软件 开发 完成 之 后 。 漏 洞 是 软件 的 一 
种 突变 属性 ， 它 在 整个 设计 和 实现 的 周期 中 都 会 出 现 。 因 此 ， 要 求 软件 开发 有 事前 、 事 中 及 


为 应 上 


事后 的 针对 性 方法 。 

在 软件 开发 的 过 程 中 ， 缺 陷 发 现 得 越 早 ， 修 复 费用 就 越 低 。 因 此 ， 在 整个 生命 周期 中 采 
多 个 过 程 是 非常 重要 的 。 
安全 的 软件 开发 在 项 目 开始 的 时 候 就 要 启动 ， 在 许多 软件 开发 团队 中 ， 安 全 测试 阶段 作 


程序 最 终 的 “安全 大 门 ”来 运行 ， 通 过 这 道 大 门 ， 允 许 或 阻止 应 用 程序 从 安逸 的 软件 


工程 环境 进入 到 不 安全 的 真实 环境 中 。 在 软件 开发 生命 周期 的 后 期 ， 随 着 引入 这 一 过 程 ， 安 
全 测试 就 背负 了 巨大 责任 : 应 用 程序 的 安全 以 及 团队 的 声誉 ， 都 依赖 于 它 。 

在 软件 已 经 实现 之 后 才 进 行 的 安全 测试 ， 比 如 找 外 部 团队 来 执行 安全 测试 ， 然 后 提交 一 
份 测试 报告 ， 这 种 方式 只 是 一 种 创可贴 式 的 补 绥 解 决 方案 。 对 于 安全 测试 团队 来 说 ， 一 般 只 
是 把 重点 放 在 对 软件 安全 的 测试 方法 上 ， 而 几乎 不 考虑 安全 的 软件 开发 周期 所 要 求 的 围绕 安 
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全 测试 的 相关 任务 。 然 而 ， 最 有 效 的 安全 计划 始 于 项 目的 开始 阶段 ， 要 远 早 于 任何 程序 代码 
编写 工作 ， 有 效 的 安全 过 程 在 整个 软件 开发 生命 周期 中 都 要 使 用 。 


2.1.1 将 安全 测试 融入 整个 软件 开发 生命 周期 中 


本 节 将 讨论 在 软件 开发 生命 周期 的 早期 介入 并 解决 安全 问题 的 重要 性 。 概 要 论述 称 作 
“安全 的 软件 开发 生命 周期 (SSDL，Secure Software Development Lifecycle)” 的 过 程 ， 其 中 包 
含 了 早期 设置 安全 质量 大 门 的 有 关内 容 。 还 将 讨论 为 什么 应 该 在 软件 开发 生命 周期 中 致力 于 
解决 安全 需求 问题 ， 而 且 在 初始 阶段 就 应 该 开始 这 方面 的 工作 。 

在 SSDL 这 一 领域 已 经 进行 了 大 量 研究 ，SSDL 描绘 了 一 种 结构 化 方法 ， 用 以 贯彻 和 实 
现 安全 的 软件 开发 。SSDL 方法 体现 了 现代 化 快速 应 用 程序 开发 研究 计划 带 来 的 好 处 。 这 类 
研究 计划 在 早期 就 开始 考虑 风险 ， 贯 穿 每 次 软件 构建 的 分 析 、 设 计 和 开发 过 程 ， 这 已 经 日 益 
成 为 一 种 流行 的 做 法 。 

遵守 SSDL， 安 全 问题 就 可 以 在 系统 的 生命 周期 早期 得 以 评估 和 解决 ， 包 括 业 务 分 析 期 
间 、 每 次 软件 构建 的 需求 分 析 阶段 以 及 设计 和 开发 阶段 。 这 种 早期 介入 方式 ， 使 安全 团队 能 
为 安全 需求 规范 、 攻 击 用 例 以 及 软件 设计 提供 质量 审查 。 整 个 团队 也 将 能 对 业务 需求 以 及 与 
其 关联 的 风险 有 更 全 面 的 理解 。 最 后 ， 这 个 团队 就 能 使 用 安全 开发 方法 、 威 胁 建 模 工作 等 设 
计 和 构建 出 最 合适 的 系统 环境 ， 产 生 更 安全 的 设计 。 

早期 介入 之 所 以 重要 ， 是 因为 需求 和 攻击 用 例 组 成 了 安全 需求 定义 和 衡量 成 功 与 否 的 基 
础 和 参考 点 。 安 全 团队 需要 对 系统 或 应 用 程序 的 功能 规范 进行 评审 。 特 别提 出 的 是 ， 至 少 要 
遵循 下 列 准 则 对 功能 规范 进行 评估 : 

e 完备 性 : 评估 安全 需求 详尽 定义 的 完备 程度 ， 并 且 当 有 可 用 的 规章 所 定义 的 需求 或 

安全 策略 时 ， 还 要 验证 安全 需求 是 否 与 其 相符 。 

e 一 致 性 : 确保 每 项 需求 都 不 会 与 其 他 需求 相 了 矛盾 。 

e 可行 性 : 评估 可 行 性 程度 ， 即 评估 需求 能 切实 使 用 现 有 技术 实现 的 程度 ， 并 且 这 种 

实现 不 能 超出 硬件 规格 、 项 目 预算 和 项 目 计 划 进 度 以 及 项 目 人 员 的 技能 水 平 。 

。 可 测试 性 ， 评估 可 测试 性 ， 即 评估 测试 方法 能 在 多 大 程度 上 证 明 安 全 需求 已 经 成 功 

实现 。 

e 优先 级 帮助 每 个 人 理解 就 风险 承担 而 言 的 需求 的 相对 值 。 应 使 用 一 种 度量 方式 (如 

1 一 3) 来 规定 优先 级 。 如 果 某 项 需求 对 于 系统 安全 性 来 说 是 至 关 重 要 的 ， 就 需要 相应 
地 指定 其 优先 级 。 这 种 方法 需要 就 这 项 需求 综合 考虑 工程 师 的 看 法 和 与 此 相关 的 开 
销 及 技术 风险 。 

。 规章: 要 求 这 种 安全 需求 与 本 项 目 必须 遵守 的 规章 所 规定 的 安全 需求 相符 合 。 

在 功能 规范 /需求 定义 阶段 ,应 该 确定 安全 测试 策略 。 如果 能 时 时 考虑 到 系统 安全 的 重要 
性 ， 那 么 产品 设计 和 编码 标准 就 能 提供 合适 的 安全 测试 的 工作 平台 。 

SSDL 的 目标 就 是 确保 安全 的 软件 得 以 成 功 实现 。 它 由 6 个 主要 部 分 组 成 : 

e 安全 原则 、 规 则 及 规章 ; 

e 安全 需求 ; 

e。 架构 、 设 计 评 审 和 威胁 建 模 ; 

e 安全 的 编码 原则 ; 


T 
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。 白 盒 、 黑 盒 、 灰 盒 测试 

e 判定 可 利用 性 。 

此 外 ， 还 需要 指定 一 个 有 关 安 全 部 署 应 用 程序 的 过 程 。 安 全 部 署 意味 着 软件 安装 时 使 
用 了 安全 的 默认 值 ， 文 件 许可 权限 需要 适当 地 进行 设置 ， 并 在 应 用 程序 的 配置 中 使 用 了 安 
全 设置 。 

软件 在 安全 部 署 后 ， 它 的 安全 性 就 依靠 在 软件 使 用 期 持续 地 进行 维护 来 保障 ， 这 就 需要 
有 一 个 周密 的 软件 补丁 的 管理 过 程 。 此 外 ， 对 出 现 的 安全 威胁 要 进行 评估 ， 并 且 需 要 对 安全 
漏洞 排 定 优先 级 并 加 以 管理 。 


2.1.2 安全 原则 、 规 则 及 规章 


安全 原则 、 规 则 及 规章 在 项 目 起 始 阶段 就 需要 考虑 ，SSDL 的 第 1 个 阶段 被 视 作 保 护 性 
需求 (Umbrella Requirement)。 

在 本 阶段 ， 可 以 基于 特定 的 官方 规章 来 定义 一 份 系统 范围 的 规范 ， 在 其 中 定义 将 应 用 到 
本 系统 的 安全 需求 。“Sarbanes-Oxley Act of 2002(SOX)” 就 是 这 样 一 份 公司 范围 的 规章 ， 它 
包含 了 特定 的 安全 需求 。 例 如 SOX 第 404 款 这 样 规 定 : “必须 使 用 各 种 内 部 控制 来 消除 欺 
骗 和 滥用 行为 ”。 这 可 以 作为 基准 来 创建 考虑 到 这 种 安全 需求 的 公司 范围 安全 策略 。 基 于 角 
色 的 许可 权限 等 级 、 密 码 规格 和 控制 以 及 访问 等 级 控制 就 是 为 满足 这 一 特定 SOX 条 款 的 需 
求 而 需要 实现 并 测试 的 内 容 。 这 里 可 以 参考 1.3 一 节 中 有 关联 软件 安全 标准 的 内 容 。 

另 一 种 公司 范围 的 安全 规章 还 可 以 定义 成 “本 系统 需要 考虑 并 服从 HIPAA 隐私 和 安全 
规章 ”， 或 者 “我 们 必须 遵守 金融 现代 化 (The Graham-Leech-Bliley) 条 例 ”， 或 者 “本 系统 需 
要 满足 支付 卡 行业 数据 安全 标准 (Payment Card Industry Data Security Standard)”, 或 者 “本 系 
统 将 满足 FISMA 标准 ”， 这 样 来 指出 儿 条 规定 。 有 时 会 要 求 某 个 公司 遵守 各 种 标准 ， 因 而 
安全 策略 的 创建 者 就 需要 考虑 所 有 专用 于 这 些 标准 的 需求 。 

有 些 系统 并 不 受 任何 规章 条 例 或 原则 的 影响 。 这 种 情况 下 ， 仍 应 开发 安全 策略 。 重 要 的 
是 ， 不 仅 要 以 文档 形式 记录 这 些 安全 策略 ， 还 要 通过 对 其 进行 跟踪 和 评估 来 使 其 成 为 一 种 不 
断 发 展 的 基本 原则 。 


2.1.3 ”安全 需求 : 攻击 用 例 


安全 需求 是 SSDL 的 第 2 个 阶段 .在 各 类 需求 文档 中 一 种 常见 的 错误 是 忽略 了 安全 需求 ， 
以 文档 形式 记录 安全 需求 很 重要 ， 这 不 仅 是 因为 安全 需求 有 助 于 软件 设计 、 实 现 以 及 测试 用 
例 的 开发 ， 而 且 能 帮助 确定 技术 选择 和 风险 区 域 。 

安全 工程 师 应 坚持 要 求 将 相关 的 安全 需求 与 每 项 功能 需求 一 起 描述 ， 并 以 文档 形式 记录 
下 来 。 在 每 项 功能 需求 描述 中 ， 都 应 该 包含 名 为 “安全 需求 ”的 一 节 ， 以 在 文档 中 记录 所 有 
特定 功能 的 特有 安全 需求 ， 这 些 安全 需求 有 别 于 系统 的 安全 策略 或 安全 规范 。 
重要 的 是 ， 这 种 用 于 需求 开发 和 文档 编写 的 原则 必须 在 项 目 开始 时 就 加 以 定义 。 例 如 ， 
每 个 人 都 会 同意 类 似 “ 系 统 必 须 是 高 度 安全 的 ”这 样 的 规定 ， 但 是 ， 对 于 “高 度 安全 ”这 种 
说 法 ， 每 个 人 都 有 不 同 的 解释 。 安 全 需求 并 不 赋予 系统 任何 特别 的 功能 ， 而 是 限定 或 进一步 
定义 了 不 应 该 允许 系统 以 哪 种 方式 处 理 某 功能 。 这 正 是 分 析 人 员 以 攻击 者 的 角度 看 待 系统 所 
应 注意 的 地 方 。 可 以 开发 “攻击 用 例 ” 来 展现 不 允许 的 或 未 经 授权 的 动作 流 。 这 些 用 例 可 以 
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帮助 理解 和 分 析 前 置 条 件 ( 用 例 执 行 前 系统 必须 所 处 的 状态 ) 及 后 置 条 件 (用 例 执行 后 系统 可 能 
处 于 的 一 组 状态 ) 的 隐 含 安全 问题 。 用 例 的 “包含 (include)” 关 系 可 阔 明 许多 保护 机 制 ， 例 如 
登录 过 程 ; 用 例 的 “扩展 (extend)” 关 系 可 阐明 许多 检测 机 制 ， 例 如 记录 审计 日 志 。 攻 击 用 例 
列 出 了 系统 可 能 被 攻击 的 方式 。 

“安全 缺点 预防 ”是 有 助 于 在 安全 错误 传播 到 后 续 开发 阶段 之 前 检测 并 规避 这 些 安全 
错误 的 技术 和 过 程 的 应 用 。 缺 点 预防 在 需求 阶段 是 最 有 效 的， 在 该 阶段 ， 对 所 要 求 的 内 容 
进行 更 改 来 修正 缺点 ， 其 影响 程度 较 低 。 如 果 每 个 人 都 能 在 软件 开发 生命 周期 的 开始 就 保 
持 安全 意识 ， 他 们 就 能 帮助 识别 出 遗漏 点 、 矛 盾 点 、 模 糊 点 以 及 其 他 可 能 影响 项 目 安全 性 
的 问题 。 

“需求 的 可 跟踪 性 ”确保 每 项 安全 需求 都 以 这 样 的 方式 来 识别 一 这 项 安全 需求 可 与 系 
统 中 所 有 用 到 该 需求 的 部 分 相关 联 。 对 于 这 项 需求 的 每 一 次 改动 ， 都 能 识别 系统 中 所 有 受 这 
次 改动 影响 的 部 分 。 

可 跟踪 性 还 使 相关 人 员 可 以 收集 每 项 需求 相关 的 信息 ， 以 及 当 某 项 需求 发 生变 更 时 可 能 
影响 到 的 系统 其 他 部 分 的 信息 ， 比 如 设计 、 编 码 、 测 试 等 。 当 有 需求 变更 通告 时 ， 安 全 测试 
人 员 能 够 确保 所 有 受 影响 的 领域 都 得 到 相应 调整 。 

安全 需求 示例 : 

e 该 应 用 程序 将 存储 敏感 的 用 户 信 息 ， 这 些 信息 必须 得 到 与 HPAA 兼容 标准 的 保护 。 

为 达到 该 目标 ， 无 论 在 哪里 存储 ， 都 必须 使 用 强加 密 来 保护 所 有 敏感 的 用 户 数 据 。 

e ”该 应 用 程序 将 通过 可 能 不 受信 任 的 或 不 安全 的 网 络 来 传输 敏感 的 用 户 信息 。 为 保护 

这 些 数据 ， 必 须 对 通信 信道 进行 加 密 ， 以 防 窃听 ;必须 使 用 双向 密码 验证 来 防止 代 
理 攻击 。 
e 该 应 用 程序 必须 对 合法 用 户 保持 可 用 性 。 必 须 对 远程 用 户 的 资源 使 用 进行 监视 和 限 
制 ， 以 防止 或 缓解 拒绝 服务 攻击 。 
e 该 应 用 程序 支持 具有 不 同 权 限 等 级 的 多 用 户 使 用 ， 为 用 户 分 配 了 多 种 权限 等 级 ， 并 
定义 了 每 一 权限 等 级 所 授权 执行 的 操作 。 需 要 定义 并 测试 各 种 不 同 的 权限 等 级 和 绕 
过 授权 攻击 的 缓解 措施 。 
e ”该 应 用 程序 接受 用 户 的 输入 ， 并 将 使 用 SQL。 需要 定义 SQL 注入 攻击 的 缓解 措施 。 
e 必须 对 用 户 输入 进行 长 度 和 字符 有 效 性 验证 (必须 定义 合法 的 字符 数据 元 素 )。 
e 该 系统 需要 对 各 个 用 户 及 其 身份 鉴别 保持 跟踪 。 要 求 密码 有 关 的 涉 密 信 息 必须 安全 
地 存储 。 

e ”该 应 用 程序 使 用 C 或 C++ 编写 。 代 码 必 须 以 这 样 的 方式 编写 : 始终 跟踪 并 检查 缓冲 
区 长 度 : 用 户 输入 不 能 更 改 格式 化 字符 串 ; 整数 值 不 允许 溢出 。 若 编译 器 支持 栈 探 
测 方法 ， 那 就 用 这 种 方法 。 

e ”该 应 用 程序 以 HTML 形式 呈现 用 户 生成 的 数据 ,因此 必须 具备 XSS 攻击 的 缓解 措施 。 

e 该 应 用 程序 需要 记录 审计 日 志 ， 要 检验 审计 日 志 的 安全 性 。 

e 该 应 用 程序 将 与 其 他 受信 的 应 用 程序 进行 连接 ， 必 须 对 这 些 连 接 进 行 有 效 性 检验 并 

提供 保护 。 

e ”该 应 用 程序 将 使 用 密码 系统 ， 且 生成 的 数据 必须 使 用 安全 的 随机 数 生成 器 。 

e 该 应 用 程序 将 使 用 多 线程 或 多 进程 ， 需 要 对 其 进行 保护 以 防 出 现 竞 争 状态 。 
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e 本 软件 将 打开 文件 并 通常 通过 非 授信 链接 来 交换 文件 数据 ,例如 通过 Intemet 打开 一 
个 媒体 文件 ， 对 所 有 从 这 个 文件 读 取 的 数据 不 加 信任 ， 并 对 其 进行 有 效 性 检验 。 
。 该 应 用 程序 需要 安全 部 署 ， 即 软件 需要 使 用 安全 的 默认 值 来 安装 。 需 要 设置 适当 的 
文件 许可 权限 ， 并 在 应 用 程序 配置 中 使 用 安全 设置 。 
这 仅 是 安全 需求 很 少 的 一 些 示例 ， 测 试 人 员 可 以 依据 这 些 安全 需求 开发 相应 的 安全 测试 
用 例 。 


2.1.4 架构 、 设 计 评 审 和 威胁 建 模 


架构 和 设计 评审 以 及 威胁 建 模 代表 了 SSDL 的 第 3 个 阶段 。 

安全 从 业者 要 充分 熟悉 产品 的 体系 结构 才能 提出 更 好 、 更 完备 的 安全 策略 、 措 施 及 技术 
方面 的 建议 。 安 全 团队 及 早 介入 可 防止 形成 不 安全 的 体系 结构 和 安全 性 欠缺 的 设计 ， 同 样 也 
有 助 于 消除 项 目 生命 周期 后 期 可 能 出 现 的 应 用 程序 行为 的 混乱 。 此 外 ， 及 早 介 入 还 可 使 安全 
专家 能 够 了 解 应 用 程度 的 哪些 方面 最 关键 ， 而 从 安全 角度 来 看 哪些 要 素 风险 最 高 。 

这 种 认识 使 得 测试 人 员 能 将 重点 放 在 那些 最 重要 的 部 分 ， 避 免 优先 测试 低 风险 部 分 ， 而 
将 高 风险 部 分 放 在 次 要 位 置 。 

软件 开发 过 程 的 时 间 和 资源 都 受到 约束 ， 在 软件 开发 生命 周期 中 ， 软 件 的 上 市 时 间 是 关 
键 因素 。 在 给 定时 间 和 资源 不 变 的 情况 下 ， 有 必要 排 定 测 试 项 目的 优先 级 ， 使 得 尽 可 能 多 地 
找 出 那些 最 严重 的 安全 缺陷 。“ 威 胁 建 模 ” 就 是 用 来 排 定 安全 测试 优先 级 的 一 种 技术 。 通 过 
威胁 建 模 , 在 对 应 用 程序 的 设计 加 以 理解 的 基础 上 , 可 假定 潜在 的 安全 风险 并 对 其 进行 评价 。 
然后 ， 根 据 攻击 难 易 程度 和 攻击 的 影响 严重 性 ， 将 这 些 威胁 进行 分 级 并 依次 消除 。 这 样 ， 安 
全 测试 人 员 就 可 将 注意 力 集中 在 那些 攻击 难度 最 低 而 影响 最 大 的 领域 。 

威胁 建 模 的 好 处 在 于 能 发 现 的 问题 与 代码 评审 及 测试 的 不 同 ， 能 发 现 较 高 层次 的 设计 问 
题 ， 而 不 是 实现 方面 的 错误 。 

通过 威胁 建 模 能 够 在 编码 实现 为 产品 之 前 ， 及 早 发 现 安全 问题 。 这 有 助 于 判断 出 应 用 程 
序 的 “风险 最 高 ”部 分 ， 这 些 都 需要 在 整个 安全 开发 工作 中 进行 非常 详细 的 审查 。 威 胁 建 模 
另 一 个 非常 有 价值 的 方面 就 是 能 让 人 有 一 种 完备 的 感觉 。 在 此 说 “本 图 中 包含 了 所 有 的 数据 
输入 ”， 这 是 一 种 很 有 力 的 声明 ， 在 其 他 任何 时 候 都 不 能 做 出 这 样 的 陈述 。 


2.1.5 “安全 编码 原则 


安全 编码 原则 是 SSDL 的 第 4 个 阶段 。 

设计 漏洞 是 一 种 设计 中 的 缺陷 ， 它 使 得 程序 不 能 安全 地 运行 ， 而 无 论 代 码 编写 者 如 何 完 
美 地 实现 了 这 个 程序 都 无 济 于 事 。 实 现 漏 洞 是 在 实际 软件 代码 编写 中 导致 的 安全 性 错误 。 

静态 分 析 工具 可 通过 扫描 源 代码 或 二 进 制 的 可 执行 文件 检测 出 许多 实现 错误 。 这 些 工 具 
对 于 找 出 类 似 缓冲 区 溢出 这 样 的 问题 是 非常 有 用 的 ， 其 输出 能 帮助 开发 人 员 学 习 在 开始 的 时 
候 就 对 这 些 错误 进行 预防 。 

软件 开发 人 员 和 测试 人 员 应 该 参加 有 关 培 训 课 程 ， 学 习 如 何 遵守 这 些 安全 的 编码 标准 ， 
从 而 开发 安全 的 代码 。 

以 安全 的 编码 标准 做 基准 ， 测 试 人 员 能 够 开发 测试 用 例 ， 检 验 是 否 遵循 了 这 些 标 准 。 

还 可 以 使 用 第 三 方 提供 的 服务 ， 将 代码 发 送 给 他 们 ， 由 他 们 来 分 析 并 找 出 其 中 的 缺点 。 
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使 用 第 三 方 服务 的 好 处 是 他 们 会 从 适应 性 因素 或 用 户 需求 方面 来 验证 代码 的 安全 性 。 由 于 这 
只 能 在 代码 开发 完毕 后 执行 ， 因 此 检验 要 提出 初始 的 标准 并 遵循 。 这 样 ， 第 三 方 就 可 以 有 所 
侧重 地 验证 这 些 标准 的 遵循 情况 ， 并 将 精力 放 在 发 现 其 他 安全 问题 上 。 


2.1.6 ”和 白 盒 、 灰 盒 与 黑 盒 测试 
白 盒 、 灰 盒 与 黑 盒 测 试 是 SSDL 的 第 5 个 阶段 。 
1. 白 盒 测 试 


白 盒 测 试 常用 于 质量 保证 领域 。 有 时 也 称 作 明 盒 测 试 、 开 盒 测 试 或 信息 充分 测试 。 在 白 
盒 测试 中 ， 对 于 测试 人 员 来 说 ， 所 有 关于 被 测 系统 的 信息 都 已 知 。 在 安全 领域 ， 这 也 可 以 认 
为 是 一 种 内 部 攻击 。 测试 人 员 能 够 访问 源 代码 和 设计 文档 , 这 使 得 测试 人 员 能 够 高 效 地 工作 。 
他 们 可 以 进行 威胁 建 模 或 逐 行 审查 代码 ， 查 找 信息 来 指导 测试 数据 的 选择 。 

白 盒 测 试 是 找 出 安全 漏洞 最 有 效 的 方法 ， 更 多 的 信息 可 使 测试 接口 更 快 且 完整 地 生成 。 
这 同样 也 提供 了 关于 此 系统 安全 性 的 精确 印象 ， 这 是 因为 ， 这 种 印象 不 是 依靠 隐蔽 式 安全 获 
得 的 ， 而 隐蔽 式 安全 是 希望 攻击 者 永远 不 会 发 现 有 关系 统 工作 方式 的 信息 。 隐 蔽 式 安全 不 是 
真正 的 安全 , 应 该 始终 假定 所 有 系统 相关 的 信息 最 终 都 被 发 现 或 泄露 出 去 。 即使 信息 被 泄露 ， 
设计 和 实现 完善 的 系统 依然 会 处 于 安全 状态 ， 这 就 是 优秀 的 密码 算法 能 公开 发 布 而 接受 审查 
的 原因 ， 它 们 并 不 依靠 保密 来 获得 安全 性 。 

进行 白 盒 测试 之 前 进行 威胁 建 模 ， 这 可 以 揭示 软件 的 攻击 面 ， 并 将 了 解 软件 中 设置 了 哪 
些 功能 来 缓解 这 些 攻 击 面 所 带 来 的 风险 。 白 盒 测 试 要 测试 这 些 缓解 措施 。 

缓解 措施 的 例子 : 使 用 安全 机 制 来 应 对 会 话 标识 符 不 够 随机 的 问题 。 在 通过 威胁 建 模 过 
程 发 现 这 项 缓解 措施 后 ， 安 全 测试 人 员 可 检查 用 来 生成 会 话 标识 符 的 代码 ， 然 后 自动 执行 创 
建新 会 话 的 过 程 ， 并 记录 此 过 程 生成 的 这 些 会 话 标识 符 。 然 后 ， 可 对 这 些 标识 符 进行 数学 分 
析 ， 了 解 它们 是 否 真正 随机 。 


2. 黑 盒 测试 


黑 盒 测 试 是 指 以 局 外 人 的 身份 对 系统 进行 分 析 ， 使 用 工具 来 检测 系统 的 攻击 面 ， 并 探查 
系统 的 内 部 信息 。 在 没有 系统 内 部 知识 时 ， 测 试 人 员 要 获得 系统 的 情况 。 这 时 ， 信 息 泄露 对 
于 黑 盒 测 试 人 员 来 说 尤为 重要 ， 这 是 因为 ， 相 对 于 操作 那些 没有 信息 泄露 的 程序 来 说 ， 这 些 
泄露 出 来 的 信息 有 助 于 测试 人 员 获 得 系统 更 多 的 情况 。 

许多 测试 人 员 都 非常 信赖 黑 盒 测试 技术 ， 并 用 它 作 为 白 盒 测试 的 补充 。 如 果 把 规格 说 明 
书 和 设计 文档 看 得 过 重 ， 测 试 人 员 就 可 能 遗漏 系统 中 未 被 正确 实现 的 或 在 文档 中 未 提 及 的 那 
些 部 分 。 这 些 规则 之 外 的 功能 可 能 会 存在 安全 缺陷 ， 必 须 找 出 这 些 缺 陷 。 黑 盒 测 试 可 让 测试 
人 员 探 查 所 有 攻击 面 ， 并 为 那些 设计 中 没有 的 功能 生成 测试 数据 。 一 种 常见 错误 就 是 在 软件 
作为 产品 发 布 之 前 ， 没 有 去 除 那些 仅 用 于 调试 的 命令 ;， 另 一 种 常见 问题 是 在 最 后 时 刻 抛 出 未 


在 设计 文档 中 正确 记录 的 功能 。 黑 盒 测 试 可 找 出 这 些 情况 下 存在 的 缺陷 ， 而 白 盒 测 试 可 能 不 
会 注意 这 些 问题 。 


当 系统 故意 使 用 隐蔽 式 安全 来 保护 信息 时 ， 这 种 方式 常见 于 数字 版 权 管理 DRM, Digital 
Rights Management) 系 统 中 ， 可 以 使 用 黑 盒 测 试 。 纯 软件 的 DRM 不 可 能 十 分 安全 ， 因 为 攻击 
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者 控制 着 DRM 软件 执行 所 在 的 系统 .DRM 厂商 能 寄予 希望 的 最 佳 方式 就 是 把 成 功 攻击 的 站 
榴 抬 到 足够 高 ， 使 攻击 者 放弃 对 其 攻击 。 由 技术 精湛 的 反 向 工程 团队 执行 的 黑 盒 测试 往往 用 
来 测试 所 用 隐 项 式 安全 方法 的 强度 。 这 通常 需要 专门 的 技术 ， 已 超出 了 质量 保障 团队 的 能 
范围 ， 因 而 进行 这 样 的 测试 代价 较 高 。 当 然 ， 对 于 DRM 系统 ， 必 须 演示 其 使 用 的 隐蔽 方法 
的 功效 。 

3. 灰 会 测试 
理想 情况 下 ， 在 安全 测试 期 间 ， 会 同时 使 用 白 盒 和 黑 盒 两 种 测试 技术 。 白 盒 测试 用 于 发 
现 有 文档 说 明 的 功能 中 的 缺陷 。 当 无 法 了 解 应 用 程序 的 内 部 信息 时 ， 使 用 黑 盒 测试 来 找 出 扎 
陷 ， 这 种 组 合 称 为 灰 盒 测试 。 

应 用 程序 的 安全 测试 人 员 通 常 都 会 执行 灰 盒 测试 来 找 出 软件 漏洞 ， 设 计 缺 陷 和 功能 的 缺 
陷 同等 重要 ， 都 需要 发 现 它们 。 由 于 安全 测试 人 员 可 以 使 用 源 代码 ， 因 此 应 该 利用 这 些 代码 
来 提高 生产 率 。 

将 软件 在 调试 器 中 运行 而 加 以 测试 是 一 种 理想 方式 ， 通 过 这 种 方式 ， 可 混合 使 用 黑 盒 测 
试 和 源 代码 ， 从 而 使 测试 人 员 获 得 灰 盒 测试 带 来 的 好 处 。 在 Windows 领域 ， 可 使 用 调试 符合 
和 源 代码 。 微 软 开发 人 员 套 件 (Microsof Developer Studio) 是 一 种 典型 的 调试 器 ， 它 使 得 测试 
人 员 可 以 轻松 地 在 栈 和 内 存 之 间 巡 查 ， 对 诸如 类 和 结构 这 样 的 复杂 变量 进行 考察 。 在 UNIX 
领域 ， 通 常 使 用 gdb 执行 这 类 工作 。 

在 软件 运行 于 调试 器 中 时 ， 可 引入 常见 的 黑 盒 测试 工具 来 用 于 执行 中 的 程序 ， 例 如 侦探 
程序 (FuzzeD 和 自动 化 的 回归 测试 套件 。 测试 人 员 可 在 危险 的 代码 行 处 设置 断 点 ， 从 而 查看 这 
些 代码 是 否 受 程序 外 部 输入 的 影响 。 这 些 危险 的 代码 行 可 通过 代码 审查 、 简 单 地 使 用 字符 中 
查找 (grep) 或 搜索 代码 来 找 出 。 

危险 代码 的 一 个 例子 就 是 C 语言 在 格式 化 字符 串 中 有 6s 的 sprintf 语句 。 如 果 复制 到 目 
标 缓冲 区 的 源 缓冲 区 太 大 ， 就 会 出 现 缓冲 区 溢出 条 件 。 但 并 不 是 有 这 种 条 件 的 sprintf 语句 都 
可 以 被 发 现 并 利用 。 灰 盒 测试 能 找 出 那些 真正 可 被 利用 的 代码 行 。 

如 果 在 代码 开发 期 间 发 现 了 问题 ， 就 要 立即 修补 潜在 可 利用 性 的 代码 。 但 是 ， 出 于 对 打 
补丁 开销 的 考虑 ， 许 多 开发 团队 并 不 喜欢 修补 那些 已 经 发 布 的 或 者 已 经 投入 生产 的 代码 的 安 
全 缺陷 。 用 于 发 现 漏洞 的 灰 使 方法 为 开发 团队 提供 了 关键 的 可 利用 性 信息 ， 这 可 以 帮助 他 们 
就 是 否 修补 代码 中 的 潜在 漏洞 做 出 决定 。 


2.1.7 判定 可 利用 性 


判定 可 利用 性 是 SSDL 的 第 6 个 阶段 。 

理想 情况 下 ， 在 SSDL 的 测试 阶段 发 现 的 每 个 漏洞 都 容易 修正 。 然 而 ， 依 漏洞 的 产生 原 
因 不 同 (是 设计 错误 还 是 实现 错误 )， 解 决 这 个 问题 所 需 的 工作 量 差别 会 很 大 。 在 计量 其 带 来 
的 风险 时 , 漏洞 的 可 利用 性 是 一 个 重要 因素 。 可 使 用 此 信息 对 漏洞 的 修补 和 其 他 开发 需求 (如 
实现 新 的 功能 特性 和 解决 其 他 安全 问题 ) 进 行 优先 级 排序 。 

判定 漏洞 的 可 利用 性 包含 对 以 下 5 个 因素 的 权衡 : 

e 攻击 者 企图 探测 并 利用 这 个 漏洞 所 需 的 访问 权限 和 定位 技术 ; 

。 成 功利 用 此 漏洞 能 获得 的 访问 级 别 或 权限 ; 
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e 探测 并 利用 此 漏洞 的 时 间 和 工作 量 因素 ; 

e 探测 和 利用 潜在 的 可 靠 性 ; 

。 探测 和 利用 尝试 行为 的 可 重复 性 。 

1. 时 间 

某 些 漏洞 可 能 需要 相当 长 的 时 间 来 探测 并 利用 。 这 可 能 表示 漏洞 利用 本 身 需 要 传输 大 量 
的 数据 、 执 行 大 量 重复 的 尝试 或 使 用 相当 数量 的 计算 资源 。 这 类 需求 的 常见 例子 包括 发 送 数 
GB 的 通信 流 、 暴 力 攻击 内 存 地 址 或 破解 密 钥 。 如 果 加 密 漏 洞 需要 几 千年 的 时 间 来 计算 才能 利 
用 的 话 ， 这 就 表示 这 种 风险 非常 低 。 

2. 可 靠 性 和 再 现 性 


漏洞 的 严重 程度 取决 于 漏洞 可 被 攻击 者 利用 的 可 靠 性 和 再 现 性 如 何 。 可 靠 性 和 再 现 性 与 
漏洞 是 低级 别 的 还 是 高 级 别 的 有 关 。 

低级 别 漏洞 通常 会 破坏 运行 中 的 应 用 程序 或 编程 语言 运行 时 程序 的 状态 。 例 如 ， 缓 冲 区 
溢出 是 一 种 常见 的 低级 别 漏洞 ， 既 会 破坏 应 用 程序 的 运行 状态 ， 也 会 破坏 编程 语言 运行 时 的 
状态 。 出 于 这 种 原因 ， 这 类 漏洞 并 不 总 是 百分之百 地 可 再 现 或 者 说 百分之百 可 靠 。 这 些 漏洞 
可 能 会 导致 应 用 程序 崩溃 ， 也 可 能 需要 依赖 应 用 程序 或 进程 处 于 某 种 状态 时 才 可 能 导致 应 用 
程序 崩溃 ， 而 这 种 状态 对 于 攻击 者 来 说 是 无 法 预测 或 控制 的 。 

高 级 别 漏洞 通常 涉及 应 用 程序 的 逻辑 错误 。 常 见 的 高 级 别 漏洞 包括 : SQL 注入 、 跨 站 执 
行 脚本 以 及 其 他 由 程序 逻辑 错误 引起 的 漏洞 。 这 些 漏 洞 不 倾向 于 导致 应 用 程序 崩溃 ， 一 般 都 
非常 可 靠 且 可 再 现 。 高 级 别 漏洞 往往 都 很 简单 , 而 且 其 可 利用 性 是 完全 确定 的 。 像 Java、 PHP、 
C 和 C++ 这 样 的 语言 中 存在 的 高 级 别 漏洞 通常 总 是 可 以 可 靠 地 利用 。 

通常 情况 下 ， 高 级 别 漏洞 (如 目录 遍历 、SQL 注入 以 及 跨 站 执行 脚本 ) 的 可 靠 性 和 再 现 性 
高 ， 而 复杂 漏洞 (例如 破坏 程序 状态 的 缓冲 区 溢出 ) 的 可 靠 性 各 不 相同 。 这 很 大 程度 上 取决 于 
漏洞 本 身 ， 还 取决 于 构建 一 次 漏洞 利用 的 技能 和 投入 的 时 间 。 精 确 测量 某 个 漏洞 利用 的 可 再 
现 性 会 比较 困难 。 然 而 ， 一 条 基本 的 准则 就 是 栈 和 数据 段 溢出 的 漏洞 利用 倾向 于 具有 高 可 再 
现 性 ， 反 之 ， 堆 溢出 漏洞 利用 的 可 再 现 性 就 较 低 。 重 要 的 是 ， 要 注意 应 用 程序 是 否 会 重新 启 
动 自己 ， 这 是 一 种 重要 的 因素 。 如 果 攻 击 者 可 以 多 次 尝试 漏洞 利用 ， 堆 溢出 漏洞 利用 的 可 靠 
性 和 可 再 现 性 可 能 变 得 相当 高 。 

3. 访问 

利用 漏洞 通常 能 为 攻击 者 提供 比 之 前 更 多 的 访问 权 。 通 过 漏洞 得 到 的 这 种 访问 授权 ， 其 
形式 可 能 是 用 户 权限 、 网 络 访问 或 对 其 他 保护 资源 的 访问 权 。 在 一 个 简单 案例 中 ， 漏 洞 可 能 
允许 攻击 者 直接 从 Web 服务 器 的 文件 系统 中 读 取 文件 ， 包 括 那些 位 于 这 个 Web 服务 器 根 文 
档 目 录 之 外 的 文件 ( 即 “目录 遍历 ”)， 或 者 如 同 PHP 和 JSP 页 面 这 样 的 服务 器 端 解释 的 源 代 
码 文件 即 “ 源 代码 汇 露 ”)。 这 种 漏洞 会 为 攻击 者 提供 更 多 信息 ， 攻 击 者 可 使 用 这 些 信息 来 
攻击 系统 ， 不 过 ， 利 用 漏洞 并 不 会 得 到 完全 的 系统 访问 权 。 然 而 ， 如 果 远 程 攻击 者 可 利用 漏 
洞 来 获得 UNIX 影子 密码 文件 ， 并 将 其 破解 而 获得 有 效 的 系统 身份 信息 ， 那 么 漏洞 可 导致 攻 
击 者 获得 系统 访问 权 。 

另外 一 系列 漏洞 是 那些 导致 “命令 执行 ”或 “任意 代码 执行 ”的 漏洞 。 命 令 行 漏洞 可 能 
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会 出 现在 这 样 的 Web 应 用 程序 中 : 程序 未 能 正确 地 对 输入 的 数据 进行 无 害处 理 , 而 将 这 些 输 
入 用 于 某 个 命令 行程 序 中 ， 使 得 攻击 者 能 在 其 中 注入 自己 的 命令 并 得 以 执行 。 任 意 代码 执行 
漏洞 包括 缓冲 区 溢出 漏洞 和 格式 化 字符 串 漏洞 ， 这 类 漏洞 允许 远程 攻击 者 将 应 用 程序 的 执行 
重 定向 到 自己 提供 的 机 器 代码 。 这 将 导致 攻击 者 获得 正在 运行 的 程序 的 全 部 权限 ， 这 种 情况 
下 ， 应 用 程序 可 能 拥有 超级 用 户 或 Administrator 权限 ， 或 者 没有 任何 权限 而 运行 ， 或 者 先前 
的 权限 被 撤消 ， 转 而 运行 于 一 种 较 低 权限 的 状态 。 然 而 ， 有 时 权限 并 没有 正确 地 或 完全 地 撤 
消 ， 并 可 能 在 攻击 者 控制 这 个 应 用 程序 之 后 就 立即 恢复 。 

其 他 常见 漏洞 ， 如 SQL 注入 和 跨 站 执行 脚本 ， 将 导致 各 种 不 同 的 访问 授权 等 级 。 一 个 
Web 应 用 程序 中 存在 的 SQL 注入 漏洞 可 能 会 使 得 远程 攻击 者 获得 该 应 用 程序 数据 库 的 访问 
权限 。 在 得 到 良好 安全 防护 的 部 署 中 ， 这 可 能 是 一 个 数据 库 上 无 特权 的 账户 ， 这 个 账户 只 
有 对 该 应 用 程序 数据 的 访问 权 。 然 而 对 于 攻击 者 来 说 ， 可 能 这 就 足够 了 ， 因 为 有 了 这 种 权 
限 ， 就 能 读 取 或 修改 该 应 用 程序 的 任何 数据 。 某 些 数据 库 配置 可 能 还 允许 更 多 的 访问 权限 。 

跨 站 执行 脚本 漏洞 使 得 攻击 者 可 在 存在 漏洞 的 Web 站 点 的 安全 环境 下 , 将 可 执行 脚本 代 
码 或 其 他 任何 HIML 代码 注入 到 受害 用 户 的 Web 浏览 器 中 。 根据 该 Web 站 点 所 能 完成 任务 
的 差别 ， 攻 击 者 可 获得 各 种 不 同 的 访问 权限 级 别 。 

4. 定位 

要 利用 一 个 漏洞 ， 攻 击 者 必须 能 与 这 个 存在 漏洞 的 应 用 程序 进行 交互 ， 并 能 访问 到 含有 
该 漏洞 的 代码 。 是 否 可 以 通过 Intemet 进行 攻击 由 这 个 应 用 程序 是 不 是 网 络 软件 以 及 使 用 哪 
种 协议 进行 通信 决定 。 某 些 应 用 程序 使 用 像 人 P 组 播 (Multicasb 这 样 的 协议 ， 而 这 种 协议 典型 
的 情况 下 是 不 能 被 路 由 器 转发 到 其 他 子 网 的 。 还 有 许多 应 用 程序 采用 了 自 定义 协议 ， 而 防火 
墙 可 能 不 允许 这 种 协议 穿 过 。 此 外 ， 某 些 应 用 程序 使 用 了 HTTP 这 样 常见 的 Intemet 协议 ， 
因而 这 也 就 使 得 攻击 可 以 穿 过 Intemet 防火 墙 得 以 执行 。 一 般 来 讲 ， 可 通过 Intemet 进行 攻击 
时 风险 最 高 ， 因 为 这 种 攻击 可 在 任何 位 置 发 起 。 

一 旦 攻击 者 能 够 访问 到 存在 漏洞 的 应 用 程序 ， 他 必定 也 能 访问 到 存在 漏洞 的 代码 。 这 里 
重要 的 屏障 就 是 鉴别 身份 信息 以 及 其 他 目标 特有 的 知识 。 如 果 这 个 漏洞 在 登录 系统 之 前 就 会 
出 现 的 话 ， 比 起 要 求 使 用 管理 身份 来 利用 的 漏洞 来 说 ， 的 确 造成 了 较 高 风险 。 此 外 ， 攻 击 者 
可 能 需要 某 些 其 他 目标 特有 的 知识 ， 比 如 该 应 用 程序 正在 监听 的 动态 选择 的 TCP 端口 、Web 
应 用 程序 中 的 某 个 站 点 特有 的 路 径 或 其 他 任何 完成 协议 协商 需要 的 参数 。 例 如 ， 某 个 自 定义 
协议 可 能 要 求 提前 配置 好 某 些 加 密 参 数 ， 并 可 能 不 加 通告 地 舍弃 那些 未 使 用 的 正确 算法 、 密 
钥 、 密 钥 长 度 或 初始 化 向 量 等 。 

最 后 ， 了 解 攻击 是 “主动 的 ”还 是 “被 动 的 ”也 很 重要 。 攻 击 者 可 对 已 知 目标 发 起 攻击 ， 
也 可 以 等 待 菜 个 用 户 的 特定 活动 之 后 再 采取 行动 。 例 如 ， 大 多 数 服务 器 软件 中 的 漏洞 都 允许 
主动 攻击 。 攻 击 者 可 在 任何 时 间 发 起 攻击 。 与 此 相对 的 是 被 动 攻击 ， 比 如 针对 某 个 Web 浏览 
器 漏洞 进行 攻击 。 攻 击 者 必须 强制 某 个 访问 某 个 Web 服务 器 的 用 户 处 于 控制 之 下 , 才能 利用 
这 个 漏洞 。 通 常 来 讲 ， 允 许 主动 攻击 的 漏洞 比 被 动 攻 击 的 漏洞 有 更 大 的 风险 。 

每 个 漏洞 的 风险 是 解决 各 个 漏洞 之 间 以 及 与 其 他 开发 任务 之 间 排 定 优先 顺序 的 依据 。 可 
利用 性 需要 周期 性 重新 评估 ， 这 是 因为 ， 随 着 时 间 的 流逝 ， 漏 洞 的 可 利用 性 总 是 变 得 更 加 容 
易 ， 例 如 密码 机 制 变 得 比 以 前 更 脆弱 ， 人 们 也 推出 了 新 的 加 密 技术 。 


。36。 软件 安全 测试 及 工具 应 用 


2.1.8 安全 地 部 署 应 用 程序 


计算 机 软件 的 部 署 指 计算 机 软件 投入 使 用 过 程 中 的 所 有 相关 环节 ， 部 署 软件 系统 涉及 从 
计算 机 软件 源头 (可 以 理解 为 服务 器 端 ) 将 软件 组 成 部 分 传递 或 复制 到 客户 端 ， 一 旦 软件 被 部 
署 ， 客 户 就 能 使 用 软件 系统 。 

安全 地 部 署 和 维护 应 用 程序 的 过 程 应 放 在 生命 周期 的 最 后 。 当 然 ， 需 要 在 开始 时 就 为 使 
应 用 程序 能 被 安全 地 部 署 而 进行 设计 。 安 全 部 署 意味 着 软件 安装 时 使 用 了 安全 的 默认 值 ， 文 
件 许可 权限 经 过 了 适当 设置 ， 并 在 应 用 程序 配置 中 使 用 了 安全 设置 。 

软件 部 署 的 结果 对 软件 系统 运行 时 的 性 能 ， 如 反馈 时 长 、 系 统 稳定 性 、 输 入 输出 的 数据 
量 、 易 用 性 、 安 全 指标 等 ， 有 很 重要 的 影响 ， 而 且 这 种 影响 作用 对 分 布 式 软件 系统 更 加 明显 。 
因为 在 分 布 式 软件 系统 中 ， 软 件 系统 往 往 需 要 根据 分 布 式 平台 所 运行 的 应 用 不 断 地 微调 、 迭 
代 、 运 维 、 扩 充 软 件 的 设备 设置 信息 ， 从 而 达到 优化 分 布 式 系 统 工作 效率 的 目标 。 分 布 式 软 
件 系统 的 编译 、 唤 醒 、 反 唤醒 、 和 迭代 、 环 境 适 应 、 反 向 提出 、 删 除 等 活动 可 以 看 成 分 布 式 软 
件 系 统 的 全 局 部 署 过 程 ， 随 用 户 需 求 和 分 布 式 运行 环境 的 变化 而 变化 。 近 年 来 ， 如 何 实现 软 
件 系统 的 优化 部 署 是 软件 部 署 和 分 布 式 系统 研究 的 重要 内 容 。 

随 着 软件 系统 复杂 性 和 软件 运行 环境 复杂 性 的 不 断 增加 ， 软 件 部 署 在 软件 生命 周期 中 变 
得 越 来 越 重 要 。 尽 管 软 件 部 署 受 到 越 来 越 多 研究 人 员 的 关注 ， 但 由 于 软件 自身 复杂 性 和 软件 
部 署 环 境 复杂 性 的 增加 等 因素 ， 软 件 部 署 目前 还 存在 以 下 几 个 方面 的 问题 

1) 软件 规模 庞大 。 随 着 科学 技术 的 进步 ， 计 算 机 软件 系统 的 规模 越 来 越 大 ， 复 杂 性 迅速 
攀升 。 计 算 机 软件 系统 常 由 众多 对 象 或 组 件 构成 ， 多 个 对 象 或 组 件 之 间 存 在 相互 依赖 关系 ， 
这 些 依赖 关系 直接 影响 软件 部 署 过程 中 的 活动 。 

2) 工作 环境 多 样 性 。 随 着 网 络 技术 的 快速 发 展 ， 计 算 机 软件 系统 的 部 署 环 境 由 原来 独 
立 、 非 动态 、 统 一 标准 的 环境 转变 为 开放 、 非 静态 、 多 种 构架 的 环境 ， 这 种 开放 、 非 静态 、 
多 种 构架 的 网 络 环境 给 计算 机 软件 的 部 署 带 来 了 难度 。 例 如 ， 软 件 部 署 不 仅 需要 考虑 对 数 
据 文件 的 需求 状态 , 还 要 考虑 组 件 之 间 的 数据 信息 等 传递 情况 并 兼顾 服务 器 的 工作 环境 等 ， 
提升 了 计算 机 软件 部 署 的 复杂 度 。 

3) 自 调整 问题 ,。 软件 的 不 断 发 展 需要 软件 部 署 能 够 进行 更 迭 操 作 , 为 了 满足 用 户 功能 性 
方面 的 需求 变化 和 计算 机 工作 环境 的 变化 ， 软 件 部 署 需 要 进行 自我 调整 。 因 此 ， 完 整 的 部 团 
过 程 是 软件 自我 调整 的 过 程 。 

4) 适应 问题 。 软件 部 署 活动 之 间 是 有 关联 的 , 一 个 活动 的 发 生 可 能 需要 其 他 活动 的 发 生 
为 前 提 ， 也 可 能 导致 其 他 活动 的 发 生 。 例 如 ， 在 服务 器 端 组 件 进行 更 新 或 再 配置 之 前 ， 必 须 
首先 反 激 活 所 有 客户 端的 组 件 ， 以 免 影响 正常 的 交易 。 因 此 ， 适 应 问题 是 软件 部 署 中 的 一 个 
重要 问题 。 

5) 安全 问题 。 互 联网 的 发 展 非常 迅速 ， 软 件 的 部 署 也 有 了 更 多 的 数据 机 密 性 、 访 问 控制 
和 统一 规范 性 等 安全 方面 的 问题 。 例 如 ， 计 算 机 软件 在 编译 执行 和 版 本 更 欠 中 需要 一 定 的 机 
密 性 ， 这 需要 网 络 传输 协议 的 内 容 不 被 非法 窍 取 。 另 外 ， 由 于 不 同 的 分 支 或 组 织 具有 不 同 的 
权限 ， 软 件 部 署 还 要 解决 身份 验证 的 问题 。 最 后 ， 由 于 软件 系统 部 署 在 多 台 服 务 器 中 ， 从 而 
可 以 保证 资源 文件 信息 的 完整 性 以 避免 资源 文件 的 破坏 或 丢失 情况 发 生 。 

此 外 ， 必 须 对 安全 的 部 署 进 行经 常 性 监控 ， 同 时 ， 必 须 对 漏洞 进行 管理 。 
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2.1.9 角色 和 职责 


安全 到 底 是 谁 的 职责 ， 这 个 问题 往往 并 不 是 那么 清晰 。 为 有 效 开 展 安全 测试 工作 ， 就 必 
须 澄清 角色 和 职责 问题 。 在 安全 的 软件 开发 生命 周期 中 ， 安 全 是 许多 人 的 职责 。 不 能 将 安全 
仅 依赖 于 网 络 小 组 安装 入 侵 检测 系统 和 防火 墙 ， 以 及 运行 一 些 用 于 安全 的 网 络 工具 。 重 要 的 
是 要 对 角色 和 职责 进行 定义 ， 这 样 ， 每 个 人 都 知道 由 谁 测试 什么 内 容 ， 举 例 来 讲 ， 这 样 就 可 
以 使 得 应 用 程序 测试 团队 不 再 假定 网 络 测试 工具 也 会 捕捉 到 应 用 程序 的 安全 漏洞 。 

项 目 经 理 或 产品 经 理应 该 编写 安全 策略 。 如 果 可 能 的 话 ， 这 些 安全 策略 可 以 基于 指定 的 
相关 标准 来 编写 。 如 果 没 有 专门 的 安全 角色 来 负责 安全 认证 的 话 ， 产 品 经 理 或 项 目 经 理 还 要 
负责 处 理 安全 认证 过 程 的 工作 。 架 构 师 和 开发 人 员 负 责 提供 设计 和 实现 细节 、 确 定 和 研究 安 
全 威胁 以 及 执行 代码 评审 工作 。 测 试 人 员 驱 动 系统 的 关键 分 析 、 参 加 安全 建 模 工 作 、 确 定 和 
研究 安全 威胁 并 构建 白 盒 和 黑 盒 测试 。 项 目 经 理 管理 计划 进度 ， 并 控制 每 份 文档 及 其 日 期 。 
安全 过 程 经 理 可 检查 指导 安全 建 模 、 安 全 评估 以 及 安全 编码 培训 。 


2.2 ”软件 安全 编程 


面 对 越 来 越 频繁 的 软件 安全 隐患 带 来 的 损失 ， 对 软件 的 开发 者 一 一 软件 工程 师 ， 提 出 了 
更 高 的 要 求 ， 要 求 程序 员 能 编写 出 错误 更 少 的 程序 ， 并 能 及 时 修复 软件 中 出 现 的 突 发 问题 ， 
切实 为 软件 使 用 者 服务 。 本 节 讲 解 的 安全 编程 技术 旨 在 解决 这 些 问 题 。 安 全 编程 是 软件 质量 
的 重要 保证 ， 在 软件 开发 和 程序 设计 中 占有 重要 地 位 。 

不 过 ， 实 际 的 软件 工程 中 ， 安 全 隐患 的 出 现 往往 来 源 于 多 个 方面 ， 给 软件 系统 带 来 的 
危害 也 有 很 多 方面 。 安 全 问题 的 出 现 ， 由 于 原因 众多 ， 而 某 些 安全 问题 又 具有 不 间断 发 生 、 
难于 调试 等 特点 ， 很 难 用 单纯 的 理论 来 全 面 阐述 安全 编程 问题 。 基 于 这 个 考虑 ， 安 全 编程 
的 内 容 只 能 针对 各 个 侧面 来 进行 曾 述 ， 如 异常 情况 下 的 安全 、 线 程 操作 中 的 安全 、 数 据 安 


全 加 密 等 。 
2.2.1 内存 安全 


内 存 安全 关系 到 整个 程序 的 安全 ， 在 软件 开发 和 程序 设计 中 占有 重要 地 位 。 如 果 程 序 员 
稍微 玻 包 ， 很 容易 出 现 安全 隐患 。 

内 存 数据 涵盖 了 很 多 方面 ， 如 字符 串 、 数 组 、 整 数 都 在 内 存 中 以 不 同形 式 存在 ， 它 们 在 
被 操作 的 过 程 中 ， 具 有 哪些 特点 ， 什 么 样 的 操作 能 够 产生 攻击 ， 这 些 都 是 程序 员 编程 时 需要 
重视 的 问题 。 

内 存 安全 主要 是 缓冲 区 溢出 问题 。 该 问题 在 字符 串 复制 或 其 他 函数 使 用 时 很 容易 出 现 
处 理 不 当 ， 会 给 程序 留 下 安全 漏洞 ， 成 为 攻击 的 目标 ， 其 次 是 整数 溢出 问题 ， 整 数 由 于 其 保 
存 的 特殊 性 ， 某 些 特殊 的 计算 可 能 产生 奇怪 的 结果 ， 如 果 处 理 不 当 ， 照样 会 成 为 隐患 ， 另外 ， 
数组 越界 、 字 符 串 格式 化 都 是 需要 重点 考虑 的 问题 。 

缓冲 区 溢出 攻击 ， 由 于 实现 起 来 比较 方便 ， 已 经 成 为 一 种 比较 常见 的 安全 攻击 手段 。 因 
此 ， 相 对 于 其 他 漏洞 ， 缓 冲 区 溢出 漏洞 比较 普遍 。 
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攻击 者 可 以 通过 很 多 手段 利用 缓冲 区 溢出 漏洞 并 且 进 行 攻击 。 一 般 来 说 ， 利 用 缓冲 区 溢 
出 攻击 的 目的 是 使 攻击 者 取得 某 些 程 序 的 控制 权 ， 执 行 某 种 特权 功能 ， 实 现 非法 操作 ;极端 


情况 下 ， 


如 果 该 程序 具有 管理 员 权限 ， 那 就 相当 于 控制 了 整个 主机 。 


攻击 者 为 了 达到 目的 ， 一 般 情 况 下 ， 攻 击 行为 分 为 两 步 进行 。 
第 一 步 : 在 程序 的 地 址 空间 放 入 一 些 攻击 性 数据 ， 故 意 让 缓冲 区 溢出 。 该 方法 中 一 般 有 


两 种 攻 如 


上 方式: 


1) 直接 输入 法 。 攻 击 者 向 被 攻击 的 程序 输入 一 个 字符 串 ， 让 缓冲 区 溢出 ， 程 序 会 把 这 个 字 


符 串 放 到 


| 缓冲 区 里 。 而 该 字符 串 中 包含 某 个 指令 序列 ， 攻 击 者 因而 猜测 出 可 以 攻击 的 漏洞 地 址 。 


2) 传递 参数 法 。 这 种 情况 下 ， 攻 击 者 想 要 执行 的 代码 存在 于 漏洞 程序 中 ， 只 需 传递 一 些 
参数 就 可 以 让 它 运 行 ， 例如， 攻击 代码 要 求 执行 exec(“ 某 个 命令 ”)， 而 在 被 攻击 程序 的 库 


中 有 一 个 函数 为 exec(arg)， 那 么 攻击 者 只 需 将 命令 参数 传 给 被 攻击 程序 。 


第 二 步 : 精心 设计 溢出 的 数据 ， 让 程序 执行 攻击 者 预想 的 功能 ， 也 就 是 改变 程序 的 执行 
流程 ， 跳 转 到 攻击 者 安排 的 攻击 代码 。 
让 程序 跳 转 到 相应 的 程序 代码 ， 一 般 情况 下 有 如 下 方法 : 


利用 另 一 个 函数 的 返回 地 址 。 函 数 调用 时 ， 堆 栈 中 会 留 下 函数 结束 时 返回 的 地 址 ， 
指示 函数 结束 后 会 执行 的 功能 。 攻 击 者 可 通过 缓冲 区 溢出 ， 改 变 程 序 的 返回 地 址 ， 
使 返回 地 址 为 攻击 代码 。 

直接 利用 函数 指针 。 由 于 函数 指针 可 用 来 定位 函数 的 位 置 ， 攻 击 者 只 需 在 函数 指针 
附近 将 缓冲 区 溢出 ， 用 攻击 函数 的 指针 来 覆盖 原 函 数 指针 ， 达 到 攻击 目的 。 


解决 缓冲 区 溢出 的 方法 有 如 下 几 种 : 


22 


积极 检查 边界 。 由 于 C 和 C++ 允许 任意 的 缓冲 区 溢出 ， 没 有 任何 的 缓冲 区 溢出 边界 
检测 机 制 来 进行 限制 ， 因 此 一 般 情况 下 ， 所 有 开发 者 需要 手动 在 自己 的 代码 中 添加 
边界 检测 机 制 . 不 过 , 也 有 一 些 优化 技术 来 减少 手工 检查 的 次 数 , 如 使 用 Richard Jones 
和 Paul Kelly 开发 的 gcc 补丁 、 利 用 Compaq 的 C 编译 器 等 。 

不 让 攻击 者 执行 缓冲 区 内 的 命令 。 这 种 方法 使 得 攻击 者 即使 在 被 攻击 者 的 缓冲 区 中 
植 入 了 执行 代码 后 ， 也 无 法 执行 被 植 入 的 代码 。 

编写 风格 良好 的 代码 。 养 成 习惯 ， 不 要 因为 一 味 追 求 程序 性 能 ， 而 编写 一 些 安全 隐 
患 较 多 的 代码 , 特别 是 不 要 使 用 一 些 可 能 存在 漏洞 的 API， 减 少 漏洞 发 生 的 可 能 。 可 
用 一 些 查 错 工具 ， 限 制 一 些 可 能 具有 缓冲 区 溢出 漏洞 攻击 的 函数 的 调用 (如 strepy 和 
sprintf 等 )。 

程序 指针 检查 。 程 序 指针 检查 不 同 于 边界 检查 ， 程 序 指针 检查 是 一 旦 修改 了 程序 指 
针 ， 就 会 被 检测 到 ， 被 改变 的 指针 将 不 被 使 用 。 这 样 ， 即 使 攻击 者 成 功 地 改变 了 程 
序 的 指针 ， 因 为 系统 事先 检测 到 了 指针 的 改变 ， 这 个 指针 也 将 不 会 被 使 用 ， 达 不 到 
攻击 的 目的 。 


进程 与 线程 安全 


进程 和 线程 是 两 个 范围 不 同 的 概念 。 进 程 是 程序 在 计算 机 上 的 一 次 执行 活动 ， 是 操作 系 
统 进行 资源 分 配 的 单位 ， 通 俗 地 讲 ， 是 正在 执行 的 程序 。 
线程 是 进程 中 的 一 个 实体 ， 是 被 系统 独立 调度 和 分 派 的 基本 单位 ， 它 可 与 同属 一 个 进程 
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的 其 他 线程 共享 进程 所 拥有 的 全 部 资源 。 一 个 线程 可 以 创建 和 撤消 另 一 个 线程 ， 同 一 进程 中 
的 多 个 线程 之 间 可 以 并 发 执行 。 实 际 上 ， 多 线程 最 直观 的 说 法 是 : 让 应 用 程序 看 起 来 好 像 同 
时 能 做 好 几 件 事情 。 在 实际 应 用 开发 过 程 中 ， 经 常会 出 现 一 个 程序 看 起 来 同时 做 好 几 件 事情 
的 情况 ， 如 : 

e 程序 进行 一 个 用 时 较 长 的 计算 ， 希 望 该 计算 进行 时 ， 程 序 还 可 以 做 其 他 事情 ; 

。 软件 要 能 够 接受 多 个 客户 的 请 求 ， 而 让 客户 感觉 不 出 等 待 ; 

e 媒体 播放 器 在 播放 歌曲 的 同时 也 能 下 载 电 影 

e 财务 软件 在 后 台 进 行 财务 汇总 的 同时 还 能 接受 终端 的 请 求 等 。 

这 些 情况 下 ， 多 线程 就 能 够 起 到 巨大 作用 。 

线程 与 进程 的 开发 和 相关 操作 ， 在 程序 设计 中 具有 重要 地 位 ， 线 程 与 进程 的 安全 和 系统 
的 安全 息息相关 。 

一 般 说 来 ， 线 程 的 安全 性 问题 主要 来 源 于 其 运行 的 并 发 性 和 对 资源 的 共享 性 ， 进 程 的 安 
全 性 问题 主要 在 应 用 级 别 ， 在 于 其 对 系统 的 威胁 性 ， 不 过 对 于 系统 软件 的 开发 者 ， 进 程 安全 
的 考虑 需要 更 加 深入 。 

每 个 程序 至 少 自动 拥有 一 个 线程 ， 称 为 主线 程 。 当 程序 加 载 到 内 存 时 ， 启 动 主线 程 。 这 
是 由 于 多 线程 的 机 制 实际 上 相当 于 CPU 交替 分 配给 不 同 的 代码 段 来 运行 : 也 就 是 说 , 某 一 个 
时 间 片 ， 某 线程 运行 ， 下 一 个 时 间 片 ， 另 一 个 线程 运行 ;各 个 线程 都 有 抢占 CPU 的 权利 ， 由 
操作 系统 决定 哪个 线程 进行 抢占 。 由 于 时 间 片 的 轮转 非常 快 ， 用 户 感觉 不 出 各 个 线程 抢占 
CPU 的 过 程 ， 看 起 来 好 像 计 算 机 在 “同时 ”做 好 几 件 事情 。 

一 个 线程 从 创建 、 运 行 到 消亡 的 过 程 ， 称 为 线程 的 生命 周期 。 用 线程 的 状态 (state) 表 明 
线程 处 在 生命 周期 的 哪个 阶段 。 线 程 有 创建 、 可 运行 、 运 行 中 、 阻 塞 、 死 亡 5 种 状态 。 通 过 
线程 的 控制 与 调度 可 使 线程 在 这 几 种 状态 间 转 换 。 这 5 种 状态 详细 描述 如 下 : 

e 创建 状态 : 使 用 new 运算 符 创建 一 个 线程 后 ， 该 线程 仅 是 一 个 空 对 象 ， 系 统 没有 分 


配 资源 ; 
e 可 运行 状态 : 使 用 start( ) 方 法 启动 一 个 线程 后 ， 系 统 分 配 了 资源 ， 使 该 线程 处 于 可 运 
行 状态 (Runnable); 


。 运行 中 状态 占有 CPU， 执 行 线程 的 run( ) 方 法 ; 

。 阻塞 状态 .运行 的 线程 因 某 种 原因 停止 继续 运行 ; 

。 死亡 状态 : 线程 结束 。 

线程 的 安全 隐患 可 能 出 现在 各 个 状态 。 一 般 来 说 ， 线 程 的 安全 性 来 源 于 两 个 方面 : 多 个 
线程 之 间 可 能 会 共享 进程 的 内 存 资源 ，CPU 的 某 个 时 间 片 分 配给 哪个 线程 使 用 ， 默 认 情况 下 
无 法 由 用 户 控制 。 

默认 情况 下 ， 线 程 都 是 独立 的 ， 而 且 异 步 执行 ， 线 程 中 包含 了 运行 时 所 需 的 数据 或 方 
法 ， 而 不 需要 外 部 资源 或 方法 ， 也 不 必 关 心 其 他 线程 的 状态 或 行为 。 但 是 多 个 线程 运行 时 
在 共享 数据 的 情况 下 ， 就 需 考虑 其 他 线程 的 状态 和 行为 ， 否 则 就 不 能 保证 程序 的 运行 结果 
的 正确 性 。 在 某 些 项 目 中 ， 经 常会 出 现 线程 同步 的 问题 ， 即 多 个 线程 在 访问 同一 资源 时 ， 
会 出 现 安全 问题 。 
所 谓 同步 ， 就 是 在 发 出 一 个 功能 调用 时 ， 在 得 到 结果 之 前 该 调用 就 不 返回 ， 同 时 其 他 线 
程 也 不 能 调用 这 个 方法 。 通 俗 地 讲 ， 一 个 线程 能 否 抢占 CPU， 必 须 考虑 另 一 个 线程 中 的 某 种 
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条 件 ， 而 不 能 随便 让 操作 系统 按照 默认 方式 分 配 CPU， 如 果 条 件 不 具备 ， 就 应 该 等 待 另 一 个 
线程 运行 ， 直 到 条 件 具备 。 

有 些 情 况 下 ， 多 个 线程 合作 完成 一 件 事情 ， 此 时 线程 之 间 实 现 了 协作 。 如 一 个 工作 需要 
若干 个 步骤 ， 各 个 步骤 都 比较 耗 时 ， 不 能 因为 它们 的 运行 ， 影 响 程序 的 运行 效果 ， 最 好 将 各 
步 用 线程 实现 。 但 由 于 线程 随时 都 有 可 能 抢占 CPU， 可 能 在 前 面 一 个 步骤 没有 完成 时 ， 后 面 
的 步骤 就 已 经 运行 ， 该 安全 隐患 造成 系统 得 不 到 正确 结果 。 

死 锁 (Dead Lock) 是 指 两 个 或 两 个 以 上 的 线程 在 执行 过 程 中 ， 因 争夺 资源 而 造成 的 一 种 互 
相等 待 的 现象 。 此 时 称 系统 处 于 死 锁 状态 ， 这 些 永远 在 互相 等 待 的 线程 称 为 死 锁 线程 。 

产生 死 锁 的 四 4 个 必要 条 件 是 

e 互 斥 条 件 ， 资 源 每 次 只 能 被 一 个 线程 使 用 ; 

。 请求 与 保持 条 件 ， 一 个 进程 因 请 求 资源 而 阻塞 时 ， 对 已 获得 的 资源 保持 不 放 ; 

e 不 剥夺 条 件 ， 进 程 已 获得 的 资源 ， 在 未 使 用 完 之 前 ， 不 管 其 是 否 阻塞 ， 无 法 强行 剥夺 ; 

e 循环 等 待 条 件 ， 若 干 进程 之 间 互 相等 待 ， 形 成 一 种 头 尾 相 接 的 循环 等 待 资源 关系 。 

这 4 个 条 件 是 死 锁 的 必要 条 件 ， 只 要 系统 发 生死 锁 ， 这 些 条 件 必然 成 立 ， 而 只 要 上 述 条 
件 中 的 一 个 不 满足 ， 就 不 会 发 生死 锁 。 

线程 控制 主要 是 对 线程 生命 周期 的 一 些 操作 ， 如 和 暂停、 继续 、 消 亡 等 。Java 提供 了 对 线 
程 生 命 周 期 进行 控制 的 一 些 函数 : 

e stop()， 停 止 线程 

e suspend( )， 和 暂停 线程 的 运行 

e ”resume( )， 继 续 线程 的 运行 

e@ destroy( )， 让 线程 销毁 。 

线程 生命 周期 中 的 安全 问题 主要 体现 在 : 线程 暂停 或 终止 时 ， 可 能 对 某 些 资源 的 锁 并 没 
有 释放 ， 它 所 保持 的 任何 资源 都 会 保持 锁定 状态 ;线程 暂停 后 ， 我 们 无 法 预计 它 什么 时 候 会 
继续 (一 般 与 用 户 操作 有 关 )， 如 果 对 某 个 资源 的 锁 长 期 被 保持 ， 其 他 线程 在 任何 时 候 都 无 法 
再 次 访问 该 资源 ， 极 可 能 造成 死 锁 。 针 对 这 个 问题 ， 为 减少 出 现 死 锁 的 可 能 ，Java 1.2 中 将 
Thread 类 的 stop( )、suspend( )、resume( ) 以 及 destroy( ) 方 法 定义 为 “已 过 时 ”方法 ， 不 再 推 
荐 使 用 。 
进程 是 执行 中 的 程序 , 对 每 个 进程 来 说 , 都 有 自己 独立 的 一 片 内 存 空间 和 一 组 系统 资源 。 
进程 由 进程 控制 块 、 程 序 段 、 数 据 段 三 部 分 组 成 。 在 进程 概念 中 ， 每 个 进程 的 内 部 数据 和 状 
态 都 是 完全 独立 的 。 

一 个 进程 可 以 包含 若干 线程 ， 进 程 也 有 运行 、 阻 塞 、 就 绪 三 种 状态 ， 并 随 着 一 定 条 件 而 
相互 转换 。 

于 进程 的 独立 性 ， 从 应 用 角度 看 ， 进 程 安全 比 线程 安全 更 受 重视 ， 一 般 针 对 已 有 的 进 
程 进行 安全 方面 的 控制 。 比 如 : 在 系统 安全 中 发 现 并 清除 病毒 进程 ， 在 网 络 应 用 中 优化 守护 
进程 或 端口 扫描 进程 等 。 

从 开发 者 (编程 ) 角 度 看 ， 进 程 的 安全 所 需要 考虑 的 问题 与 线程 类 似 ， 但 由 于 线程 能 够 共 
享 进程 的 资源 ， 所 以 线程 安全 一 般 考 虑 的 问题 比 进程 安全 要 多 。 不 过 ， 对 于 开发 多 个 进程 能 
够 运行 的 系统 软件 (如 操作 系统 )， 进 程 的 安全 就 应 该 重点 考虑 了 。 一 般 情况 下 ， 此 时 考虑 的 
问题 和 线程 安全 类 似 ， 因 为 在 这 种 软件 中 ， 各 个 进程 在 使 用 系统 中 有 限 的 资源 ， 与 线程 安全 
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中 考虑 的 问题 相似 。 
2.2.3 ”异常 与 错误 处 理 中 的 安全 


异常 /错误 处 理 是 程序 设计 中 的 常见 内 容 ， 异 常 /错误 处 理 的 技巧 和 程序 的 安全 性 具有 密 
切 的 关系 。 科 学 的 异常 /错误 处 理 方法 是 系统 安全 性 的 重要 保障 。 

一 般 来 说 ， 开 发 过 程 中 可 能 出 现 的 问题 有 如 下 几 种 : 

编译 错误 ， 语 法 写 错 了 ， 比 如 在 CH+ 中 ，inta 写成 了 Inta， 这 种 错误 ， 编 译 器 能 够 进行 
提示 ， 一 般 比 较 容易 解决 。 

运行 错误 ， 语 法 没有 问题 ， 但 在 运行 时 发 生 了 问题 。 比 如 连接 数据 库 的 代码 本 来 是 正确 
的 ， 但 运行 时 数据 库 突然 断 电 ， 程 序 不 能 正常 运行 ， 这 是 在 代码 编写 阶段 应 该 预计 到 的 ， 可 
由 异常 处 理解 决 (Java 语言 中 定义 了 Eror 和 Exception， 都 是 为 了 解决 此 类 问题 )， 在 某 些 语 
言 (如 VB) 中， 没有 面向 对 象 的 异常 处 理 机 制 ， 此 时 设计 了 面向 过 程 的 错误 处 理 方法 来 解决 
这 个 问题 。 

另 一 种 是 逻辑 错误 ,程序 语法 没有 问题 ， 也 没有 异常 ， 但 得 不 到 正确 结果 ， 这 需要 靠 程 
序 员 非 常 高 超 的 编程 经 验 来 进行 处 理 ， 这 不 属于 本 节 探 讨 的 范围 。 

如 前 所 述 ， 异 常 主要 是 针对 程序 语法 没有 问题 时 ， 在 运行 的 过 程 中 出 现 的 突 发 情况 。 蜡 
常 的 出 现 ， 是 在 程序 编译 通过 的 情况 下 ， 程 序 运行 过 程 中 出 现 一 些 突 发 情况 造成 的 ， 处 理 这 
些 突 发 情况 ， 需 要 有 良好 的 预见 性 ， 预 先进 行 处 理 ， 以 保证 系统 的 安全 性 ， 这 对 程序 员 提 出 
了 更 高 要 求 。 实 际 上 ， 不 可 能 预见 程序 可 能 出 现 的 所 有 异常 。 

常见 异常 可 能 出 现 的 场合 如 下 : 

e 访问 数据 库 时 ， 数 据 库 停止 工作 ; 

e 访问 文件 ， 文 件 恰 好 被 另 一 个 程序 访问 ; 

e 输入 一 个 以 0 作为 除数 的 数值 ; 

e 类 型 转换 、 对 象 未 分 配 内 存 等 。 

从 上 面 可 能 出 现 异常 的 场合 可 以 看 出 ， 异 常 是 几乎 所 有 高 级 语言 都 可 能 出 现 的 情况 ， 在 
面向 对 象 的 语言 中 ，C++、C# 等 也 会 出 现 类 似 的 情况 ， 包 括 一 些 非 面向 对 象 的 语言 ， 如 VB， 
也 必须 面 对 程 序 运行 过 程 中 的 异常 现象 。 虽 然 处 理 方法 不 同 ， 但 本 质 类 似 。 

当 系 统 底 层 出 现 异常 时 ， 实 际 上 是 将 异常 用 对 象 封装 起 来 ， 传 给 调用 方 (客户 端 ， 俗 称 
抛 出 (throw)。 如 在 程序 里 面 发 生 了 数字 格式 异常 ， 这 个 异常 在 底层 就 被 封装 成 javalang. 
NumberFormatException 对 象 抛 出 。 异 常 对 象 抛 出 给 函数 的 调用 者 ， 如 果 调 用 者 具有 对 异常 
处 理 的 代码 ， 则 对 异常 进行 处 理 ， 否 则 将 异常 继续 向 前 抛 出 ， 如 果 直 到 用 户 端 还 没有 对 异 
常 进行 处 理 ， 异 常 将 在 标准 输出 (如 控制 台 ) 中 打印 。 对 于 非 面 向 对 象 语言 ， 异常 出 现 的 原理 
类 似 。 

程序 中 可 能 出 现 的 异常 有 很 多 种 类 ， 如 算术 异常 (除数 为 0 等 )、 数 组 越界 异常 、 类 型 转 
换 异 常 、 分 配 内 存 异 常 、 数 字 格 式 异 常 等 。 

异常 出 现 后 ， 可 通过 查看 文档 来 了 解 发 生 的 原因 。 但 是 ， 了 解 异常 出 现 的 原因 并 不 是 最 
终 目的 ， 为 保证 系统 的 正常 和 安全 运行 ， 将 异常 进行 有 效 的 处 理 ， 才 是 我 们 所 需要 的 。 要 进 
行 异常 处 理 ， 首 先 必须 对 异常 进行 捕获 (catch)， 在 面向 对 象 的 语言 中 ， 可 以 有 两 种 方法 捕获 
异常 : 就 地 捕捉 异常 和 将 异常 向 前 端 (调用 方 ) 抛 出 。 当 一 个 模块 中 可 能 出 现 异常 时 ， 一 般 情 
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况 下 ， 可 就 地 捕捉 异常 ， 过 程 如 下 

e 用 try 块 将 可 能 出 现 异 常 的 代码 包 起 来 ; 

e@ 用 catch 块 来 捕获 异常 并 处 理 异 常 ; 

e 如 果 有 一 些 工 作 是 不 管 异 常 是 否 出 现 都 要 执行 的 ， 则 将 相应 的 代码 用 finally 块 包 

起 来 。 

如 前 所 述 ， 一 个 try 后 面 必须 至 少 接 一 个 catch， 可 以 不 接 finally， 但 最 多 只 能 有 一 个 
finally。 我 们 知道 ， 代 码 中 可 能 出 现 的 异常 有 很 多 种 类 。 如 Java 中 常见 的 就 有 未 分 配 内 存 
异常 、 未 找到 文件 异常 、 数 据 库 异常 、 格 式 转 换 异常 、 类 型 转换 异常 等 。 由 于 无 法 对 所 有 异 
常 进行 预见 ， 怎 样 尽 可 能 多 地 捕获 程序 中 可 能 出 现 的 异常 呢 ? 

于 try 块 后 面 可 以 接 多 个 catch 块 , 因此 可 用 某 一 个 catch 捕获 某 种 异常 。 当 try 中 出 现 
异常 时 ， 程 序 将 在 catch 中 寻找 是 否 有 相应 的 异常 类 型 的 处 理 代码 ， 如 果 找 到 就 处 理 ， 如 果 
没有 找到 就 继续 向 下 找 。 

在 异常 处 理 过 程 中 ，finally 块 是 可 选 的 ， 实 际 上 ，finally 是 为 了 更 大 程度 上 保证 程序 的 
安全 性 。 异 常 通常 有 两 种 处 理 方 法 : 就 地 处 理 和 向 客户 端 传递 。 就 地 处 理 就 是 在 出 现 异常 的 
模块 中 处 理 异 常 。 程 序 中 的 异常 ， 是 就 地 处 理 比较 好 还 是 向 客户 端 传递 比较 好 ? 此 处 要 遵循 
下 列 原则 : 就 地 处 理 方法 可 以 很 方便 地 定义 提示 信息 ， 对 于 一 些 比较 简单 的 异常 处 理 ， 可 以 
选用 这 种 方法 ， 向 客户 端 传递 的 方法 ， 其 优势 在 于 可 以 充分 发 挥 客户 端的 能 力 ， 如 果 异 常 的 
处 理 依赖 于 客户 端 ， 或 者 某 些 处 理 过 程 在 本 地 无 法 完成 ， 就 必须 向 客户 端 传递 。 例 如 ， 数 据 
库 连接 代码 可 能 出 现 异 常 ， 但 是 异常 的 处 理 最 好 传递 给 客户 端 ， 因 为 客户 端 在 调用 这 块 代码 
时 ， 可 能 要 根据 实际 情况 ， 获 取 环 境 参数 ， 进 行 比较 复杂 的 处 理 。 

这 样 做 的 好 处 是 : 在 客户 端 可 以 进行 更 丰富 的 异常 处 理 ， 不 仅 增加 了 可 扩展 性 ， 也 可 以 
做 到 更 安全 的 代码 保障 。 所 以 ， 一 般 情况 下 ， 模 块 中 的 异常 ， 如 果 确 定 可 以 就 地 处 理 则 就 地 
处 理 ， 和 否则 就 应 该 向 客户 端 抛 出。 不 过 ， 异 常 不 断 向 客户 端 扫 出 ， 会 增加 系统 开销 。 实 际 上 ， 
在 自 定义 异常 的 时 候 也 会 遇见 相同 的 问题 ， 其 原则 类 似 。 

综合 各 种 语言 的 特性 ， 异 常 处 理 机 制 一 共有 两 种 : 

1) 面向 对 象 的 异常 处 理 机 制 。 主 要 针对 面向 对 象 的 语言 一般 使 用 try-catch-finally 结构 
来 处 理 异常 ， 前 面 所 述 的 异常 处 理 机 制 都 是 面向 对 象 的 异常 处 理 机 制 。 

2) 面向 过 程 的 异常 处 理 机 制 。 实 际 上 ， 对 于 一 些 非 面向 对 象 的 语言 ， 如 VB， 早期 也 具 
有 异常 处 理 机 制 , 这 就 是 面向 过 程 的 异常 处 理 机 制 。 甚至 在 面向 对 象 的 语言 , 如 VB.NET 中 ， 
除了 推出 面向 对 象 的 异常 处 理 机 制 外 ， 也 保留 了 面向 过 程 的 异常 处 理 机 制 ， 主 要 以 On Error 
结构 为 代表 。 


2.2.4 输入 安全 


输入 是 一 个 很 广泛 的 概念 ， 既 是 用 户 和 软件 之 间 的 交互 手段 ， 也 是 软件 内 部 模块 之 间 的 
交互 手段 。 针 对 软件 用 户 的 输入 有 很 多 类 型 ， 比 如 : 用 户 在 软件 上 输入 一 个 命令 ， 进 行 相应 
操作 ;用 户 输入 自己 的 账号 密码 ， 进 行 登录 验证 ， 用户 输入 一 个 关键 字 ， 进 行 查询 等 。 模 块 
之 间 进 行 数据 传递 时 ， 也 会 有 相应 输入 ， 比 如 : 一 个 模块 调用 另 一 个 模块 时 ， 输 入 一 些 参数 ; 
一 个 模块 读 取 一 个 配置 文件 ， 以 对 自己 的 行为 进行 配置 等 。 从 程序 本 身 的 角度 讲 ， 很 多 情况 
下 ， 软 件 的 安全 问题 就 出 在 输入 ; 从 攻击 者 的 角度 讲 ， 输 入 是 进行 攻击 的 重要 手段 。 经 过 调 
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查 总 结 ， 大 部 分 的 软件 安全 问题 来 源 于 应 用 程序 接受 输入 数据 前 ， 没 有 进行 安全 性 验证 。 很 
明显 ， 如 果 任 由 用 户 输入 而 不 进行 检查 ， 用 户 就 可 以 输入 其 他 对 系统 有 害 的 命令 ， 如 mm( 删 
除 ) 命 令 ， 带 来 的 危害 是 巨大 的 。 解决 上 面 问题 的 方法 显然 是 进行 安全 性 验证 ， 对 于 编程 人 员 
来 说 ， 程 序 的 所 有 输入 数据 ， 在 被 进行 安全 性 验证 之 前 ， 都 被 认为 是 有 害 的 。 一 旦 忽略 了 这 
条 规则 ， 程 序 就 可 能 遭受 攻击 。 

以 上 规则 看 似 容易 ， 也 容易 理解 ， 但 在 传统 情况 下 ， 安 全 性 验证 往往 被 忽略 掉 。 主 要 原 

因 如 下 : 
1) 在 同一 软件 中 , 由 于 每 一 个 输入 到 达 最 后 的 执行 模块 的 过 程 中 , 都 需要 经 过 许多 关口 ， 
每 个 关口 都 有 可 能 进行 检查 。 但 就 是 因为 这 样 ， 许 多 开发 人 员 都 假定 这 些 数 据 在 通过 其 他 关 
时 ， 已 经 由 其 他 关口 的 应 用 程序 函数 检查 过 了 ， 回 避 了 对 输入 的 检查 ， 不 愿意 牺牲 性 能 去 
对 数据 进行 多 次 校 验 ， 结 果 导 致 大 家 都 没有 进行 验证 。 

2) 随 着 软件 的 分 工 ， 现 在 许多 应 用 程序 的 功能 都 分 块 分 布 在 不 同 机 器 上 (如 客户 机 器 和 服 
务 器 上 ， 或 者 对 等 机 器 上 )， 开 发 人 员 有 充足 理由 依赖 应 用 程序 的 其 他 模块 提供 安全 检验 。 

从 上 面 的 例子 又 可 以 看 出 ， 输 入 安全 解决 不 好 ， 在 严重 的 情况 下 ， 可 能 会 带 来 巨大 的 危 
害 。 要 想 防 御 应 用 程序 可 能 受到 的 输入 攻击 ， 最 简单 有 效 的 方法 是 : 在 对 输入 进行 任何 一 步 
处 理 之 前 ， 必 须 对 数据 安全 进行 验证 。 数 据 安全 验证 ， 说 起 来 比较 容易 ， 做 起 来 要 考虑 很 多 
问题 ， 由 于 很 多 软件 开发 者 感觉 数据 安全 验证 太 容易 ， 反 而 会 忽略 科学 的 方法 。 

在 对 输入 进行 检查 时 , 为 了 保证 实际 工作 的 可 行 性 , 在 设计 时 , 可 以 采用 以 下 儿 个 策略 : 

1) 尽量 让 程序 可 以 输入 的 入 口 少 一 些 。 这 样 的 话 ， 如 果 程序 分 为 若干 个 模块 ， 那 么 攻击 
者 直接 和 某 些 模块 通信 的 概率 大 大 降低 ， 也 就 是 说 ， 攻 击 者 进入 程序 的 途径 将 大 大 减少 ， 同 
时 限制 了 各 模块 之 间 的 通信 路 径 进行 攻击 的 可 能 ， 安 全 验证 的 代价 大 大 减 小 。 

2) 尽量 让 输入 所 允许 的 输入 类 型 少 一 些 。 这 样 可 以 让 验证 的 工作 更 加 简化 。 比 如 ， 如 果 
仅 允 许 输入 的 值 为 数字 ， 那 么 验证 时 只 需 针对 数字 进行 验证 ， 验 证 是 相对 简单 的 ， 如 果 将 输 
入 设计 为 任何 字符 串 都 可 以 输入 ， 那 么 将 要 考虑 更 多 问题 ， 验 证 难度 将 会 增加 很 多 。 

3) 严格 检查 不 可 信 的 输入 。 不 仅 在 数据 最 初 进入 程序 时 要 执行 检查 , 而 且 在 程序 实际 使 
用 这 些 数据 时 ， 也 要 进行 检查 。 当 然 , 检查 的 项 目 可 以 不 一 样 , 但 是 检查 应 该 是 时 时 存在 的 。 
不 过 ， 相 对 来 说 , 更 重要 的 是 数据 在 使 用 之 前 的 检查 。 一 般 情况 下 ,我 们 可 以 采用 如 下 方法 : 
数据 在 进入 模块 时 ， 在 各 个 模块 内 进行 针对 该 模块 的 安全 检查 。 

4) 转变 观念 ， 从 定义 “非法 ”到 定义 “合法 ”。 安 全 程序 开发 人 员 往 往 有 个 误区 ， 它 们 
首先 定义 的 是 “什么 样 的 数据 非法 ? ”， 这 个 定义 很 容易 给 出 ， 比 如 ，email 地 址 中 可 以 定义 
没有 “@” 符 号 为 非法 ， 但 这 是 不 安全 的 。 因 为 不 可 能 将 所 有 非法 的 数据 都 加 以 定义 ， 攻 击 
者 非常 聪明 ， 他 们 常常 会 想 出 其 他 的 非法 数据 。 定 义 “ 什 么 是 非法 ”， 容 易 想到 ， 但 是 无 法 
定义 全 ; 但 是 定义 “什么 是 合法 ”， 就 相对 容易 得 多 。“ 正 确 答案 只 有 几 个 ， 而 错误 答案 可 
以 有 很 多 个 ”， 就 是 这 个 道理 。 

所 以 应 该 做 的 是 确定 “什么 样 的 数据 是 合法 的 ? ”。 在 数据 输入 时 ， 检 查 数据 是 否 符合 
定义 ， 只 接受 符合 定义 的 数据 ， 而 不 是 检查 数据 是 否 不 符合 定义 ， 拒 绝 不 符合 定义 的 数据 。 

例如 ， 有 一 个 程序 ， 根 据 用 户 的 输入 ， 创 建 一 个 文件 。 很 显然 ， 有 些 字符 ， 如 “/”， 是 
不 允许 的 。 但 是 仅 去 检查 一 个 字符 也 不 够 ， 其 他 字符 ， 如 控制 字符 、 空 格 、 横 线 等 ， 都 有 可 
能 不 合法 。 即 使 创建 了 一 个 “非法 ”字符 的 列表 ， 也 可 能 没有 办 法 定义 完全 ， 因 为 总 可 能 有 
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没有 考虑 到 的 情况 。 因 此 ， 正 确 的 方法 应 该 是 : 确定 文件 名 输入 的 一 种 安全 的 特定 格式 ， 而 
拒绝 不 符合 这 种 特定 格式 的 所 有 输入 。 


1. 数字 安全 问题 

数字 的 输入 安全 是 比较 常见 的 。 比如 在 表单 上 输入 一 个 人 的 年 龄 ,一 般 就 会 有 范围 限制 。 
对 数字 的 安全 检查 主要 有 : 格式 ， 如 整数 、 小 数 等 ， 精 度 ， 如 小 数 保留 的 位 数 等 ， 范 围 ， 如 
某 个 输入 数字 的 大 小 取 值 范围 等 ， 类 型 和 范围 的 匹配 ， 如 为 了 预防 整数 溢出 ， 对 短 整 数 的 输 
入 进行 范围 检查 。 

针对 数字 输入 的 安全 要 注意 以 下 几 点 : 

1) 确定 数字 格式 。 比 如 ， 有 的 系统 中 数字 是 阿拉 伯 数字 ， 也 有 的 系统 支持 中 文 数字 (如 
一 二 三 ， 其 至 者 式 会 等 ) 输 入 ， 有 的 系统 中 数字 每 三 位 就 有 一 个 过 号 等 。 一 般 情况 下 ,可 用 正 
则 表达 式 来 验证 字符 串 是 不 是 数字 ， 然 后 进行 数字 的 安全 检查 。 

2) 对 于 负数 的 验证 。 一 般 最 好 不 要 根据 有 没有 符号 位 来 确定 该 数 是 不 是 负数 。 因为 有 些 
程序 中 ， 如 果 输 入 一 个 很 大 的 正 数 ， 也 可 能 导致 数值 “溢出 ”而 变 成 一 个 负数 ， 对 于 负数 的 
验证 要 进行 一 些 底层 的 判断 。 

3) 特别 要 注意 判断 数值 游 出 (如 整数 溢出 ) 的 问题 。 

2. 字符 串 安全 问题 

关于 对 字符 串 的 验证 ， 有 以 下 问题 值得 注意 

1) 如 果 使 用 正则 表达 式 , 最 好 明确 指出 要 匹配 数据 的 开始 (通常 用 “^” 来 标识 ) 和 结束 ( 通 
常用 “$” 来 标识 。 否 则 ， 攻 击 者 可 能 在 输入 中 尾 入 攻击 文本 ， 并 能 绕 过 安全 检查 。 

2) 尽 可 能 在 输入 中 拒绝 特殊 字符 。 因 为 有 很 多 特殊 字符 在 某 些 系统 中 拥有 特殊 含义 ,如 
A”， 在 Windows 系统 中 可 能 作为 文件 路 径 分 隔 符 。 在 开发 阶段 这 个 问题 可 能 不 容易 引起 
注意 ， 但 可 能 被 攻击 者 利用 。 

3. 环境 变量 安全 问题 


环境 变量 的 输入 也 可 能 给 攻击 者 带 来 机 会 。 主 要 来 源 于 : 

1) 环境 变量 的 内 容 给 攻击 者 留 下 机 会 。 有 些 系统 中 , 环境 变量 存储 了 和 系统 有 关 的 一 些 
配置 信息 ， 如 在 Linux 中 ， 很 多 程序 配置 被 环境 变量 以 某 些 隐 含 、 模 糊 或 未 公开 的 方式 所 定 
义 。 例 如 ，sh 和 bash shell 使 用 IFS 变量 来 决定 分 隔 命令 行 参数 的 字符 。 那 么 ， 在 执行 一 个 
shell 时 ， 把 下 S 设置 为 某 些 值 ， 就 可 能 进行 攻击 。 另 一 方面 ， 由 于 并 不 是 所 有 环境 变量 都 有 
文档 的 说 明 ， 这 让 用 户 遇 到 攻击 后 无 所 适 从 ， 并 且 由 于 环境 变量 的 可 编辑 性 ， 攻 击 者 甚至 可 
以 增加 一 些 更 危险 的 环境 变量 ， 从 而 达到 攻击 的 目的 。 

2) 环境 变量 的 存储 格式 给 攻击 者 留 下 机 会 。 在 Linux 下 ， 环 境 变量 在 底层 ， 通 常 是 以 字 
符 串 数组 形式 存储 的 ， 这 个 字符 串 指针 数组 有 一 个 头 指针 ， 该 数组 中 ， 按 顺序 存储 各 个 环境 
变量 ， 每 个 环境 变量 是 这 个 数组 中 的 一 个 元 素 ， 该 数组 以 NULL 指针 结尾 。 每 一 个 元 素 的 格 
式 都 为 : NAME=value”。 这 潜在 地 表明 ， 环 境 变 量 名 不 能 包含 等 号 ， 也 不 能 包含 一 些 其 他 
敏感 符号 ， 如 NIL(ASCII 码 为 0 的 字符 ， 一 般 表 示 字 符 串 结尾 )。 如 果 这 一 点 被 攻击 者 利用 
就 可 能 会 给 系统 带 来 损害 。 

要 解决 以 上 安全 问题 ， 可 从 以 下 几 个 方面 着 手 : 
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限制 环境 变量 的 使 用 权限 ; 
。 可 适当 破坏 环境 变量 在 shell 之 间 的 共享; 
e ”对 用 户 定义 的 环境 变量 ， 需 要 进行 严格 的 检查 。 


4. 文件 名 安全 问题 


在 很 多 与 文件 输出 有 关 的 系统 中 ， 文 件 名 可 能 成 为 安全 隐患。 无 论 在 什么 样 的 操作 系统 
中 ， 文 件 名 应 该 遵循 以 下 安全 原则 

1) 不 要 让 用 户 自 己 输入 文件 名 ， 应 在 界面 上 给 用 户 一 个 默认 的 文件 名 。 如 Windows 中 
将 文件 另存 时 ， 界 而 的 “文件 名 ” 框 中 会 显示 一 个 默认 的 合法 名 称 ， 中 免 用 户 因为 输入 一 些 
不 合法 的 文件 名 造成 安全 问题 

2) 如 果 不 得 不 让 用 户 输 入 文件 名 ,那么 将 文件 名 限制 为 只 能 包含 字母 和 数字 。 特别 应 该 
考虑 将 一 些 特殊 字符 (如 “/”、 A”、“-”， 以 及 ”、“?”、《[]”、“{ }” 等 通 配 
彻 从 合法 模式 中 去 掉 。 

3) 不 要 允许 用 户 命名 一 些 可 能 和 物理 设备 神 突 的 文件 名 。 比 如 , 在 一 些 系统 中 ， 一 些 广 
件 名 可 以 被 认为 是 物理 设备 。 例 如 ， 如 果 一 个 程序 试图 打开 COM1 文件 ， 可 能 被 系统 误解 为 
尝试 和 串口 通信 ， 系 统 就 去 进行 串口 的 读 写 ， 而 该 操作 又 不 符合 用 户 的 期 望 。 因 此 ， 这 种 广 
件 命名 也 要 避免。 

5. 数据 库 安全 问题 


数据 库 (Database，DB)， 顾 名 思 义 ， 是 存放 数据 的 地 方 。 在 计算 机 中 ， 数 据 库 包括 两 方 
面 的 含义 :数据 本 身 和 数据 库 对 象 。 不 同 的 数据 库 产品 ， 对 数据 都 有 不 同 的 定义 ， 但 是 展现 
给 用 户 的 数据 库 对 象 都 类 似 ， 主 要 有 表 (Table)、 视 图 (View)、 存 储 过 程 (Stored Procedure) 和 触 
发 器 (Trigger) 等 。 其 中 ， 表 是 最 常用 、 最 基本 的 数据 库 对 象 。 关 于 这 些 数 据 库 对 象 的 定义 ， 
可 以 参考 相关 文档 。 

数据 库 一 般 用 数据 库 管理 系统 (DBMS) 进 行 管理 ， 数 据 库 管理 系统 是 用 于 管理 数据 的 计 
算 机 软件 。 利 用 数据 库 管理 系统 ， 用 户 能 方便 地 定义 和 操纵 数据 ， 维 护 数据 的 安全 性 和 完整 
性 ， 以 及 进行 多 用 户 下 的 并 发 控制 和 恢复 数据 库 ， 一 般 情况 下 ， 我 们 所 说 的 “数据 库 软件 ” 
是 指数 据 库 管理 系统 。 

目前 ,常用 的 数据 库 管理 系统 有 Access、Oracle、Sybase、FoxPro、DB2、Informix、SQL 
Server 等 ， 它 们 在 各 种 联机 事务 处 理 、 数 据 仓库 、 电 子 商务 、 信 息 管理 系统 、 决 策 支 持 系统 、 
办 公 自 动 化 系统 、 企 业 资 源 计 划 、 网 站 建设 等 方面 都 有 着 广泛 的 应 用 。 

攻击 者 通过 对 数据 库 的 恶意 输入 ， 可 将 信息 注入 正在 运行 的 进程 ， 获 取 敏 感 数据 ， 甚 至 
危害 进程 的 运行 状态 。 

6. 账户 和 口令 安全 问题 

在 应 用 程序 中 ， 连 接 到 数据 库 ， 通 常 要 使 用 正确 的 账户 和 口令 。 但 很 多 程序 员 直 接 用 管 
理 员 账 户 连 接 到 数据 库 ， 例 如 在 SQL Server 中 ， 以 sa(Super Administrator， 超 级 管理 员 账 户 ) 
进行 连接 ， 这 样 很 危险 。 在 Oracle 数据 库 中 ， 以 system 进行 连接 也 是 很 危险 的 ， 它 们 都 是 功 
能 强大 且 很 可 能 对 各 自 系 统 造成 损害 的 账户 。 

实际 上 ， 应 用 程序 的 使 用 ， 并 不 一 定 要 用 到 管理 员 账 户 ， 使 用 管理 员 账 户 ， 反 而 给 了 攻 
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击 者 更 多 的 机 会 。 如 在 SQL Server 中 ， 当 连接 以 sa 账户 进行 ， 且 SQL 代码 中 有 bug 时 ， 攻 
击 者 可 执行 任何 管理 员 账户 可 以 执行 的 任务 ， 比 如 : 删除 系统 中 的 数据 库 或 表 ， 删 除 系统 中 
表 中 的 数据 ;修改 系统 中 表 中 的 数据 ;修改 存储 过 程 、 触 发 器 ;删除 日 志 ; 添加 新 的 数据 库 
用 户 等 。 

很 多 情况 下 ， 程 序 员 会 将 口令 以 明文 形式 存放 于 代码 中 ， 运 行 阶段 ， 这 些 口令 置 入 进程 
的 内 存 空 间 。 此 时 ， 口 令 如 果 被 攻击 者 获知 ， 则 可 执行 攻击 者 希望 执行 的 任何 代码 ， 和 危险 性 
也 很 大 。 解 决 以 上 问题 的 方法 主要 有 : 尽量 不 使 用 管理 员 账 户 ， 使 用 最 小 特权 账户 ， 不 给 予 
额外 的 权限 ; 不 允许 使 用 空 口令 连接 数据 库 ， 防 止 管理 员 因 玻 忽而 创建 空 口令 ;数据库 连 接 
字符 串 存放 在 配置 文件 中 ， 最 好 可 以 加 密 ， 而 不 是 在 代码 中 以 明文 显示 ; 发 生 错误 时 ， 仅 给 
客户 端 通知 信息 ， 不 给 出 具体 原因 ， 防 止 攻击 者 利用 这 些 通知 信息 进行 数据 库 猜测 。 


2.2.5 面向 对 象 中 的 安全 编程 


面向 对 象 (OO, Object Oriented) 是 目前 最 流行 的 软件 开发 方法 之 一 ， 也 是 当前 计算 机 软件 
工程 界 关 注 的 重点 ， 从 20 世纪 90 年 代 开始 ， 它 就 慢 慢 成 为 软件 开发 方法 的 主流 。 目 前 ， 面 
向 对 象 的 概念 和 应 用 ， 已 经 不 仅 集中 于 程序 设计 和 软件 开发 ， 而 是 扩充 到 计算 机 应 用 的 其 他 
应 用 场合 ， 如 数据 库 系 统 、 交 互 式 界面 、 应 用 结构 、 应 用 平台 、 分 布 式 系统 、 网 络 管理 结构 、 
CAD 技术 、 人 工 智 能 等 领域 。 面 向 对 象 强调 人 类 在 日 常 的 思维 逻辑 中 经 常 采 用 的 思维 方法 与 
原则 ， 其 中 的 重要 概念 如 抽象 、 分 类 、 继 承 、 聚 合 、 多 态 等 ， 都 和 我 们 的 生活 息息相关 ， 这 
也 成 为 面向 对 象 思想 流行 的 原因 。 对 象 的 生成 比较 简单 ， 涉 及 的 安全 考虑 也 不 多 ; 与 此 相对 
应 ， 对 象 的 内 存 也 有 释放 过 程 ， 它 与 系统 安全 性 的 关系 更 大 一 些 。 

现 以 C++ 为 例 ， 阐 述 对 象 在 内 存 中 的 存储 和 释放 情况 。 对 象 通常 存放 在 三 个 内 存 区 域 : 

1) 全 局 /静态 数据 区 : 主要 存放 全 局 对 象 和 静态 对 象 ， 在 该 内 存 区 的 对 象 或 成 员 ， 直 到 
进程 结束 ， 才 会 释放 内 存 。 

2) 堆 : 存在 于 堆 中 的 数据 , 分 配 内 存 的 方法 一 般 是 new/malloc, 释放 内 存 的 方法 是 delete/ 
free。 对 于 这 种 对 象 ， 可 对 创建 和 销毁 进行 精确 控制 。 堆 对 象 在 C++ 中 的 使 用 非常 广泛 ， 也 
得 到 了 广泛 应 用 ， 不 过 ， 用 这 种 方法 分 配 或 释放 内 存 也 有 一 些 缺 点 

。 需要 程序 员 手 工 管理 其 创建 和 释放 ， 如 果 忘 记 释放 的 话 ， 可 能 造成 内 存 泄漏 

e 在 时 间 效 率 和 空间 效率 上 ， 堆 对 象 没有 栈 对 象 高 

。 在 程序 中 ， 如 果 频 繁 使 用 new 来 创建 堆 对 象 或 用 delete 来 释放 堆 对 象 ， 会 造成 大 量 

的 内 存 碎片 ， 内 存 得 不 到 充分 使 用 。 

3) 栈 : 栈 中 一 般 保 存 的 是 局 部 对 象 或 局 部 变量 ， 使 用 栈 对 象 效 率 较 高 ， 程 序 员 无 需 对 其 
生存 周期 进行 管理 。 

C++ 中 ， 和 对 象 释放 内 存 相 关 的 一 般 是 析 构 函数 。 析 构 函 数 的 作用 是 释放 对 象 申请 的 资 
源 ， 析 构 函数 通常 由 系统 自动 调用 ， 在 以 下 几 种 情况 下 系统 会 调用 析 构 函数 : 

e 全 局 对 象 在 进程 结束 时 ; 

。 堆 中 对 象 进行 delete/free 操作 时 ; 

。 栈 中 对 象 生命 周期 结束 时 包括 离开 作用 域 、 函 数 正常 跳出 或 抛 出 异常 等 。 

在 使 用 析 构 函数 时 ， 可 以 充分 利用 它 的 性 质 进行 一 些 操 作 ， 特 别 是 对 于 栈 中 的 对 象 ， 由 
于 析 构 函数 调用 是 由 系统 自动 完成 的 ， 因 此 可 以 利用 这 一 特性 ， 将 一 些 需要 随 着 对 象 销毁 而 
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必须 释放 的 资源 封装 在 析 构 函数 中 ， 由 系统 自动 完成 销毁 或 释放 ， 这 些 工作 的 典型 案例 如 : 
某 些 资源 的 释放 、 多 线程 解锁 和 关闭 文件 等 。 这 样 ， 利 用 栈 对 象 的 这 一 特性 进行 自动 管理 ， 
可 以 避免 由 于 编程 时 的 遗漏 而 忘记 执行 某 种 操作 。 

很 多 情况 下 ， 对 象 可 能 在 多 线程 环境 下 运行 。 一 个 对 象 在 其 生命 周期 内 可 以 被 多 个 线程 
访问 ， 这 实际 上 是 多 线程 通信 的 一 种 方式 ， 此 种 情况 就 会 出 现 多 种 问题 ， 其 中 最 重要 的 就 是 
多 线程 环境 下 对 象 的 状态 安全 访问 以 及 修改 。 实 际 上 ， 很 多 系统 软件 (如 服务 器 ) 已 经 在 底层 
实现 了 线程 安全 ， 因 此 ， 隐 患 主要 来 源 于 : 程序 员 不 知道 该 组 件 对 象 使 用 线程 来 实现 ， 错 误 
地 使 用 一 些 非 线程 机 制 情况 下 的 方法 。 

关于 对 象 线程 安全 ， 有 两 方面 的 问题 : 

1) 很 多 框架 下 都 提供 了 对 象 被 多 个 线程 访问 的 机 制 ， 当 对 象 可 能 被 多 个 线程 访问 时 , 千 
万 不 能 在 对 象 中 保存 与 某 个 线程 相关 的 状态 。 

2) 当 对 象 可 能 被 多 个 线程 进行 操作 时 ， 应 该 考虑 同步 问题 。 

对 象 序列 化 是 面向 对 象 语言 中 的 重要 特性 之 一 ， 在 Java 系列 和 .NET 系列 中 ， 都 可 以 使 
一 定 手段 实现 对 象 序列 化 。 一 般 情况 下 ， 对 象 具有 一 定 的 生命 周期 ， 随 着 生成 该 对 象 的 程 
序 作用 域 结束 而 结束 。 但 有 时 ， 程 序 可 能 需要 将 对 象 的 状态 保存 下 来 ， 或 者 写 入 文件 ， 或 者 
写 入 数据 传输 流 ， 在 需要 时 再 将 对 象 读 入 之 后 进行 恢复 ， 这 其 中 就 需要 序列 化 工作 。 对 象 序 
列 化 就 是 将 对 象 的 状态 转换 成 字 节 流 (当然 也 可 能 是 字 节 流 以 上 的 一 些 包 装 流 )， 在 使 用 时 ， 
可 通过 读 取 流 中 的 内 容 ， 生 成 相同 状态 的 对 象 。 

序列 化 (Serialization) 过 程 的 工作 一 般 是 : 对 象 将 描述 自己 状态 的 数据 写 出 到 流 中 ， 描 述 
自己 状态 的 数据 一 般 是 成 员 变量 ， 因 此 ， 序 列 化 的 主要 任务 是 写 出 对 象 成 员 变量 的 数值 。 特 
殊 情 况 下 如 果 对 象 中 某 个 成 员 变量 是 另 一 对 象 的 引用 ， 则 被 引用 的 对 象 也 要 序列 化 ， 因 此 ， 
序列 化 工作 是 递归 的 。 在 很 多 应 用 中 ， 对 象 序列 化 具有 很 重要 的 作用 。 如 数据 传输 软件 中 ， 
传输 的 数据 一 般 是 对 象 ， 这 种 情况 下 ， 对 象 应 该 具备 写 入 流 中 的 能 力 ， 也 就 是 说 需要 被 序列 
化 ;另外 一 些 情况 下 ， 可 能 需要 将 对 象 写 入 持久 化 存储 (如 数据 库 和 文件 )， 也 需要 进行 对 象 
的 序列 化 。 

以 Java 为 例 ， 将 对 象 序列 化 的 方法 很 简单 ， 满 足 两 个 条 件 即 可 : 

。 该 对 象 对 应 的 类 实现 Serializable 接口 ; 

e 该 对 象 的 被 序列 化 成 员 必 须 是 非 静 态 成 员 变 量 ; 

其 他 语言 中 ， 序 列 化 过 程 类 似 。 不 过 ， 对 象 序列 化 只 能 保存 成 员 变量 的 值 ， 其 他 内 容 ， 

如 成 员 函 数 、 修 饰 符 等 ， 都 不 能 保存 。 
于 对 象 序列 化 之 后 要 在 网 上 传输 ， 或 者 写 入 数据 流 ， 因 此 需要 关心 的 问题 一 般 是 信息 
汇 密 问题 。 对 象 被 序列 化 时 ， 使 用 字 节 数组 表示 ， 并 加 上 很 多 控制 标记 ， 在 一 定 程度 上 阻止 
了 对 象 成 员 直接 被 攻击 者 识别 。 但 还 是 不 能 完全 阻止 对 象 内 容 的 泄密 ， 攻 击 者 对 保存 的 对 象 
稍 加 分 析 ， 则 可 获取 需要 的 信息 。 所 以 ， 在 序列 化 时 ， 一 定 要 注意 不 能 让 敏感 信息 (如 卡号 密 
码 ) 汇 密 。 

解决 该 问题 的 方法 有 两 种 : 

1) 在 将 对 象 实现 序列 化 时 , 进行 一 些 处 理 , 如 加 密 。 该 类 方法 将 在 后 续 章 节 中 详细 叙述 。 

2) 不 要 将 敏感 信息 序列 化 。 

可 通过 一 些 手 段 ,不 将 某 些 成 员 序 列 化 。 如 在 Java 中 ， 可 在 成 员 前 面 加 上 transient 关键 
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字 ， 在 序列 化 时 ， 系 统 将 回避 这 些 字段 。 

在 类 中 ， 数 据 成 员 可 分 为 静态 成 员 、 非 静态 成 员 两 种 。 

类 中 的 成 员 ， 通 常情 况 下 ， 必 须 通过 它 的 类 的 对 象 来 访问 ， 但 可 以 创建 这 样 一 个 成 员 ， 
使 它 的 使 用 完全 独立 于 该 类 的 任何 对 象 ， 被 类 的 所 有 对 象 共用 。 

在 成 员 的 声明 前 面 加 上 关键 字 static( 静 态 ) 就 能 创建 这 样 的 成 员 , 这 种 成 员 叫做 静态 成 员 。 
如 果 一 个 成 员 变量 或 成 员 方法 被 声明 为 static， 它 就 是 静态 变量 或 静态 方法 ， 它 能 够 在 该 类 的 
任何 对 象 创建 之 前 被 访问 ， 而 不 必 引 用 任何 对 象 。 

静态 成 员 变 量 存储 在 全 局 数据 区 , 为 该 类 的 所 有 对 象 共享 , 不 属于 任何 对 象 的 存储 空间 ， 
逻辑 上 所 有 对 和 象 都 共享 这 一 存储 单元 ， 对 静态 成 员 变 量 的 任何 操作 都 会 影响 这 一 存储 单元 的 
所 有 对 象 。 

静态 成 员 从 属于 一 个 类 , 不 是 某 对 象 的 一 部 分 , 非 静态 成 员 可 直接 访问 类 中 的 静态 成 员 ， 
但 静态 成 员 不 可 以 访问 非 静态 成 员 。 

静态 成 员 的 优点 是 ; 消除 传统 程序 设计 方法 中 的 全 局 变量 ， 为 真正 实现 封装 性 提供 了 必 
要 手段 。 由 于 静态 成 员 的 共享 性 ， 就 必须 考虑 其 数据 安全 。 

除了 上 一 节 讲 到 的 线程 安全 外 ， 还 必须 考虑 对 象 对 其 进行 访问 时 的 安全 性 。 要 注意 以 下 
几 点 : 

1) 静态 成 员 的 初始 化 操作 先 于 对 象 的 实例 化 而 进行 , 所 以 在 它们 的 初始 化 中 不 要 启动 线 
程 ， 以 免 造 成 数据 访问 的 问题 ， 同 时 静态 成 员 的 初始 化 操作 中 也 不 应 该 有 依赖 关系 ; 

2) 不 用 静态 变量 保存 某 个 对 象 的 状态 ， 而 应 该 保存 所 有 对 和 象 共 有 的 状态 ; 

3) 不 用 对 象 来 访问 静态 变量 ， 而 用 类 名 来 访问 静态 变量 。 


2.2.6 ”Web 编程 安全 


Web 编程 是 目前 比较 流行 的 软件 编程 方法 之 一 ， 也 是 B/S 模式 的 一 种 实现 方式 ， 由 于 
Web 编程 的 方法 和 传统 C/S 程序 的 不 相同 ， 因 此 Web 编程 中 的 安全 问题 也 有 其 特殊 性 。 
随 着 Intemet 技术 的 兴起 ，B/S 结构 成 为 对 C/S 结构 的 一 种 改进 。 这 种 结构 有 如 下 特点 : 
e 程序 完全 放 在 应 用 服务 器 上 ， 并 在 应 用 服务 器 上 运行 ， 通 过 应 用 服务 器 与 数据 库 服 
务 器 进行 通信 ; 
e 客户 机 上 不 必 安 装 任何 客户 端 软件 ， 系 统 界 面 通过 客户 端 浏览 器 呈现 ， 客 户 端 只 需 
在 浏览 器 内 输入 URL; 
e 修改 了 应 用 系统 ， 只 需 维护 应 用 服务 器 。 
于 B/S 结构 的 优点 ， 现 在 的 网 络 应 用 系统 中 ，B/S 系统 占 绝 对 主流 地 位 。 
了 解 了 什么 是 Web 程序 , 我 们 再 深入 了 解 一 下 Web 技术 的 相关 特点 。 在 Web 程序 结构 
中 ， 浏 览 器 端 与 应 用 服务 器 端 采 用 请 求 /响应 模式 进行 交互 。 
过 程 描 述 如 下 : 
1) 客户 端 (通常 是 浏览 器 ， 如 正 、Firefox 等 ) 接 受用 户 的 输入 ， 如 用 户 名 、 密 码 、 查 询 字 
符 串 等 ; 
2) 客户 端 向 应 用 服务 器 发 送 请 求 : 输入 之 后 提交 ， 客 户 端 把 请 求 信息 (包含 表单 中 的 输 
入 以 及 其 他 请 求 等 信息 ) 发 送 到 应 用 服务 器 端 ， 客 户 端 等 待 服务 器 端的 响应 ; 
3) 数据 处 理应 用 服务 器 端 使 用 某 种 脚本 语言 来 访问 数据 库 查询 数据 ， 并 获得 查询 结果 ; 
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4) 数据 库 向 应 用 服务 器 中 的 程序 返回 结果 ; 
5) 发 送 响应 : 应 用 服务 器 端 向 客户 端 发 送 响应 信息 (一 般 是 动态 生成 的 HIML 页 面 ); 
6) 显示 : 由 用 户 的 浏览 器 解释 HTML 代码 ， 呈 现 用 户 界面 。 


1. Web 编程 


可 以 说 , 不同 的 Web 编程 语言 都 对 应 着 不 同 的 Web 编程 方式 ， 目 前 常见 的 应 用 于 Web 
的 编程 语言 可 以 参考 5.4.1 一 节 的 相关 内 容 。 


2. 避免 URL 攻击 


Web 上 有 很 多 资源 ， 如 HTML 文档 、 图 像 、 视 频 、 程 序 等 ， 在 访问 时 ， 它 们 的 具体 位 
置 怎 样 确定 呢 ? 通常 是 利用 URL。 

URL(Uniform Resource Locator， 统 一 资源 定位 器 ) 是 Intemet 上 用 来 描述 信息 资源 的 字符 
串 ， 可 帮助 计算 机 来 定位 这 些 Web 上 的 可 用 资源 。 

以 下 是 一 个 典型 的 URL 例子 : http://localhost:8080/Prj08/indexjsp?usemame=gkhua。 可 以 
看 出 ，URL 一 般 由 4 部 分 组 成 : 
访问 资源 的 命名 机 制 (协议 ): httb， 实 际 上 还 可 能 是 fp 等 ; 
存放 资源 的 主机 名 : localhost:8080; 
资源 自身 的 名 称 ， 由 路 径 表示 : /Prj08/indexjsp; 
其 他 信息 ， 如 查询 字符 串 等 ，?usemame=gkhua。 

URL 操作 攻击 的 原理 ， 一 般 是 通过 URL 来 猜测 某 些 资源 的 存放 地 址 ， 从 而 非法 访问 受 
保护 的 资源 。 

为 防止 URL 操作 攻击 ， 程 序 员 在 编写 Web 应 用 时 ， 可 从 以 下 方面 加 以 注意 : 

e 为 避免 非 登录 用 户 进行 访问 ， 对 于 每 一 个 只 有 登录 成 功 才能 访问 的 页 面 ， 应 该 进行 

session 检查 (session 检查 的 内 容 将 在 稍 后 提 到 ); 
e 为 限制 用 户 访问 未 被 授权 的 资源 ， 可 在 查询 时 将 登录 用 户 的 用 户 名 也 考虑 进去 。 


3. 页 面 状态 值 安全 


HTTP 是 无 状态 的 协议 ， 除 非 通过 服务 器 ，Web 页 面 本 身 无 法 向 下 一 个 页 面 传递 信息 。 
因此 ，Web 页 面 保持 状态 并 传递 给 其 他 页 面 是 一 个 重要 技术 。 

举 一 个 简单 的 案例 : 页面 1 中 定义 了 一 个 数值 变量 ， 并 通过 计算 ， 将 其 平方 值 显示 在 界 
面 上 ; 同时 页 面 1 中 有 一 个 链接 到 页 面 2， 要 求 点 击 链接 ， 在 页 面 2 中 显示 该 数字 的 立方 。 
很 明显 ， 该 应 用 中 ， 页 面 2 必须 知道 页 面 1 中 定义 的 那个 变量 。 

在 HITP 协议 中 共有 4 种 方法 来 完成 这 件 事情 : 

。 URL 传 值 

e 表单 传 值 

e@ ”Cookie 方法 

@ Session 方法 

这 4 种 方法 各 有 特点 ， 各 有 安全 优势 ， 本 节 将 对 其 进行 分 析 。 

URL 方法 由 于 其 简单 性 和 平台 支持 的 多 样 性 (没有 浏览 器 不 支持 URL)， 很 多 程序 使 用 
URL 传 值 比 较 方便 。 
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但 该 方法 有 如 下 问题 : 

e 传输 的 数据 只 能 是 字符 串 ， 对 数据 类 型 具有 一 定 限制 ; 

e 传输 数据 的 值 会 在 浏览 器 地 址 栏 里 被 看 到 。 从 保密 角度 看 ， 这 是 不 安全 的 。 特 别 是 

安全 性 要 求 很 严格 的 数据 (如 密码 ) 不 应 该 用 URL 方法 来 传 值 。 

与 URL 一 样 ， 表 单传 值 方法 简单 方便 ， 支 持 多 平台 ， 很 多 程序 使 用 这 种 方法 。 

但 该 方法 有 如 下 问题 : 

e 与 URL 方法 类 似 ， 该 方法 传输 的 数据 也 只 能 是 字符 串 ， 对 数据 类 型 具有 一 定 限制 ; 

e ”传输 数据 的 值 虽然 可 以 保证 在 浏览 器 地 址 栏 内 不 被 看 到 ， 但 在 客户 端 源 代码 里 会 被 

看 到 。 因 此 ， 从 保密 角度 看 ， 这 也 是 不 安全 的 。 特 别 是 秘密 性 要 求 很 严格 的 数据 (如 
密码 )， 也 不 推荐 用 表单 方法 来 传 值 。 

在 页 面 之 间 传 递 数 据 的 过 程 中 ，Cookie 是 一 种 常见 的 方法 。Cookie 是 一 个 小 的 文本 数 
据 ， 由 服务 器 端 生成 ， 发 送 给 客户 端 浏览 器 ， 客 户 端 浏览 器 如 果 设 置 为 启用 Cookie， 则 会 
将 这 个 小 文本 数据 保存 到 其 某 个 目录 下 的 文本 文件 内 。 

客户 端 下 次 登录 同一 网 站 , 浏览 器 则 会 自动 将 Cookie 读 入 之 后 ， 传 给 服务 器 端 。 服 务 器 
端 可 对 该 Cookie 进 行 读 取 和 验证 (当然 也 可 以 不 读 取 )。 一 般 情 况 下 , Cookie 中 的 值 以 key-value 
的 形式 进行 表达 。 

基于 这 个 原理 ， 上 面 的 例子 可 以 用 Cookie 来 进行 。 即 在 第 一 个 页 面 中 , 将 要 共享 的 变量 
值 保存 在 客户 端 Cookie 文件 内 ， 在 客户 端 访问 第 二 个 页 面 时 ， 由 于 浏览 器 自动 将 Cookie 读 
入 之 后 ， 传 给 服务 器 端 ， 因 此 只 需要 第 二 个 页 面 中 由 服务 器 端 页 面 读 取 这 个 Cookie 值 即 可 。 
在 客户 端的 浏览 器 上 ， 我 们 看 不 到 任何 与 传递 的 值 相 关 的 信息 ， 说 明 在 客户 端 浏览 器 中 ， 
Cookie 中 的 数据 是 安全 的 。 

但 也 不 能 说 Cookie 是 完全 安全 的 。 因 为 Cookie 是 以 文件 形式 保存 在 客户 端的 ， 客 户 端 
存储 的 Cookie 文件 就 可 能 被 攻击 者 获知 。 在 本 例 中 ， 内 容 被 保存 在 Cookie 文件 中 ， 如 果 使 
用 的 是 Windows XP，C 盘 是 系统 盘 ， 该 文件 保存 在 C:\Documents and Settings\ 当 前 用 户 名 
\Cookies 下 。 很 明显 , Cookie 也 不 是 绝对 安全 的 。 如 果 将 用 户 名 、 密 码 等 敏感 信息 保存 在 Cookie 
内 ， 在 用 户 离开 客户 机 时 不 注意 清空 ， 这 些 信 息 容 易 泄 露 ,因此 Cookie 在 保存 敏感 信息 方面 
具有 潜在 危险 。 

可 以 很 清楚 地 看 到 ，Cookie 的 危险 性 来 源 于 Cookie 可 能 被 盗 取 。 目 前 盗 取 的 方法 有 很 
多 种 : 

1) 利用 跨 站 脚本 技术 ， 将 信息 发 给 目标 服务 器 ， 为 了 隐藏 跨 站 脚本 的 URL， 甚 至 可 以 
结合 Ajax( 异 步 JavaScript 和 XML 技术 ) 在 后 台 窃 取 Cookie。 

2) 通过 某 些 软件 ， 窃 取 硬 盘 下 的 Cookie。 如 前 所 述 ， 当 用 户 访问 完 革 站 点 后 ，Cookie 
文件 会 保存 在 机 器 的 某 个 文件 夹 (如 C:\Documents and Settings\ 用 户 名 \Cookies) 下 ， 因 此 可 以 
通过 某 些 盗 取 和 分 析 软 件 来 盗 取 Cookie。 具 体 步 又 如 下 : 

e 利用 盗 取 软件 分 析 系统 中 的 Cookie， 列 出 用 户 访问 过 的 网 站 ; 

e 在 这 些 网 站 中 寻找 攻击 者 感 兴趣 的 网 站 ; 

e 从 该 网 站 的 Cookie 中 获取 相应 信息 。 

不 同 的 软件 有 不 同 的 实现 方法 ， 有 兴趣 的 读者 可 在 网 上 搜索 相应 的 软件 。 

3) 利用 客户 端 脚本 盗 取 Cookie。 在 JavaScript 中 有 很 多 API 可 以 读 取 客 户 端 Cookie, 可 
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将 这 些 代码 隐藏 在 一 个 程序 (如 图 片 ) 中 ， 很 隐秘 地 得 到 Cookie 值 ， 不 过 这 也 是 跨 站 脚本 的 一 
种 实现 方式 。 

同样 ， 以 上 问题 不 代表 Cookie 就 没有 任何 用 处 ，Cookie 在 Web 编程 中 还 是 应 用 很 广泛 
的 ， 主 要 是 因为 以 下 几 个 方面 : 

1) Cookie 的 值 能 够 持久 化 ， 即 使 客户 端 机 器 关闭 ， 下 次 打开 还 是 可 以 得 到 里 面 的 值 。 因 
此 Cookie 可 用 来 减轻 用 户 一 些 验 证 工作 的 输入 负担 ， 比 如 用 户 名 和 密码 的 输入 , 就 可 以 在 第 
一 次 登录 成 功 之 后 , 将 用 户 名 和 密码 保存 在 客户 端 Cookie， 下 次 不 必 和 输入。 当然 , 这 不 安全 ， 
但 对 于 一 些 安全 要 求 不 高 的 网 站 ，Cookie 还 是 大 有 用 武之 地 。 

2) Cookie 可 以 帮助 服务 器 端 保存 多 个 状态 信息 , 但 不 用 服务 器 端 专门 分 配 存 储 资源 , 减 
轻 了 服务 器 端的 负担 。 比 如 网 上 商店 中 的 购物 车 ， 必 须 将 物品 和 有 具体 客户 名 绑 定 ， 但 是 放 在 
服务 器 端 又 需要 占据 大 量 资源 的 情况 下 , 可 以 用 Cookie 来 实现 , 将 每 个 物品 和 客户 的 内 容 作 
为 Cookie 保存 在 客户 端 。 

3) Cookie 可 持久 保持 一 些 与 客户 相关 的 信息 。 如 很 多 网 站 上 ， 客 户 可 自主 设计 自己 的 个 
性 化 主页 ， 其 作用 是 避免 用 户 每 次 都 需要 去 找 自 己 喜 爱 的 内 容 , 设计 好 后 ， 下 次 打开 该 网 址 ， 
主页 上 显示 的 是 客户 设置 好 的 界面 。 如 果 这 些 设置 信息 保存 在 服务 器 端 ， 就 会 消耗 服务 器 端 
资源 ， 因 此 可 将 客户 的 个 性 化 设计 保存 在 Cookie 内 ， 每 一 次 访问 该 主页 ， 客 户 端 将 Cookie 
发 送 给 服务 器 端 ， 服 务 器 根据 Cookie 的 值 来 决定 显示 给 客户 端 什么 样 的 界面 。 

解决 Cookie 安全 的 方法 有 很 多 ， 常 见 的 有 以 下 几 种 ; 

1) 替代 Cookie。 将 数据 保存 在 服务 器 端 ， 可 选 的 是 session 方案 ; 

2) 及 时 删除 Cookie。 要 删除 一 个 已 经 存在 的 Cookie， 有 以 下 几 种 方法 ; 

e 给 一 个 Cookie 赋 空 值 ; 

e 设置 Cookie 的 失效 时 间 为 当前 时 间 ， 让 该 Cookie 在 当前 页 面 浏览 完 之 后 就 被 删除 了 ; 

e 通过 浏览 器 删除 Cookie。 如 在 正 中 ， 可 以 选择 “工具 ” |“Intemet 选项 ” |“ 常规 ”， 

在 其 中 单 击 “ 删 除 Cookies”， 就 可 以 删除 文件 夹 中 的 Cookie。 
3) 禁用 Cookie。 很 多 浏览 器 中 都 设置 了 禁用 Cookie 的 方法 ， 如 正 中 ， 可 在 “工具 ”| 
“Tntemet 选项 ” |“ 隐私” 中 ， 将 隐私 级 别 设置 为 禁用 Cookie。 

前 面 儿 种 方法 在 传递 数据 时 ， 有 一 个 共同 的 问题 是 内 容 都 保存 在 客户 端 ， 具 有 泄露 的 危 
险 。 如 果 在 不 考虑 服务 器 负载 的 情况 下 ， 将 数据 保存 在 服务 器 端 是 一 个 较 好 的 方案 ， 这 就 是 
session 方法 。 

本 质 上 讲 , 会 话 (session) 的 含义 是 指 某 个 用 户 在 网 站 上 的 有 始 有 终 的 一 系列 动作 的 集合 。 
例如 ， 用 户 在 访问 网 站 时 ，session 就 是 指 从 用 户 登入 站 点 到 关闭 浏览 器 所 经 过 的 这 段 过 程 。 
session 中 的 数据 可 被 同一 个 客户 在 网 站 的 一 次 会 话 过 程 共享 。 但 是 对 于 不 同 客户 来 说 ， 每 个 
人 的 session 是 不 同 的 。 可 见 ， 也 可 以 实现 页 面 之 间 数 据 的 传递 。session 方法 和 前 面 几 个 方法 
相 比 ， 是 相对 安全 的 。 

同一 个 客户 在 访问 多 个 页 面 时 ， 多 个 页 面 用 到 session， 对 他 来 说 是 同一 个 对 象 。 那 么 服 
务 器 怎么 知道 要 分 配给 它 的 是 同一 个 session 对 象 呢 ? 实 际 上 , 在 客户 进行 第 一 次 访问 时 , 服 
务 器 端 就 给 session 分 配 了 一 个 sessionId， 并 让 客户 端 记 住 了 这 个 sessionId， 客 户 端 访问 下 个 
页 面 时 ， 又 将 sessionId 传送 给 服务 器 端 ， 服 务 器 端 根据 这 个 sessionId 找到 前 一 个 页 面 用 的 
session， 由 此 保证 为 同一 个 客户 服务 的 session 对 象 是 同一 个 。 
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综 上 所 述 ，session 分 配 的 具体 过 程 为 : 

e 客户 端 访问 服务 器 ， 服 务 器 使 用 session， 首 先 检查 这 个 客户 端的 请 求 中 是 否 已 包含 

sessionld; 

e 如 果 有 ， 服 务 器 就 在 内 存 中 检索 相应 Id 的 session 来 用 ; 

@ 否则 服务 器 为 该 客户 端 创建 一 个 session 并 生成 一 个 相应 的 sessionId， 并 在 该 次 响应 

中 返回 给 客户 端 保存 。 

session 经 常用 于 保存 用 户 登 录 状 态 。 比 如 用 户 登 录 成 功 之 后 要 访问 好 几 个 页 面 ， 但 是 每 
个 页 面 都 需要 知道 是 哪个 用 户 在 登录 ， 此 时 就 可 以 将 用 户 的 用 户 名 保存 在 session 内 。 

在 大 项 目 中 ,有 许多 页 面 可 能 都 要 进行 session 检查 ， 如 果 将 session 检查 代码 写 很 多 次 ， 
势必 出 现 大 量 重复 代码 。 针 对 该 问题 , 可 用 两 种 方法 加 以 解决 (此 处 只 是 列举 JSP 系列 中 的 解 
决 办 法 ): 

1) 将 session 检查 代码 单独 写 入 一 个 文件 ， 在 每 个 需要 检查 的 网 页 中 包含 它 。 

2) 利用 过 滤器 。 不 过 ， 并 不 是 所 有 的 语言 都 支持 过 滤器 。 关 于 过 滤器 的 知识 ， 读 者 可 以 
查阅 相关 文献 。 

以 上 内 容 主要 是 站 在 编程 角度 来 谈论 session 应 该 怎样 使 用 才 最 安全 ; 那么 , 针对 session 
的 攻击 主要 体现 在 哪里 呢 ? 

session 机 制 最 大 的 不 安全 因素 是 sessionId 可 被 攻击 者 截获 , 如 果 攻 击 者 通过 一 些 手段 知 
道 了 sessionId, 由 于 sessionId 是 客户 端 寻找 服务 器 端 session 对 象 的 唯一 标识 , 攻击 者 就 有 可 
能 根据 sesionId 来 访问 服务 器 端的 session 对 象 ， 得 知 session 中 的 内 容 ， 从 而 实施 攻击 。 

在 session 机 制 中 ， 很 多 人 认为 : 只 要 浏览 器 关闭 ， 会 话 结束 ，session 就 消失 了 。 其 实 
不 然 ， 浏 览 器 关闭 ， 会 话 结束 ， 对 于 客户 端 来 说 ， 已 经 无 法 直接 再 访问 原来 的 那个 session， 
但 并 不 代表 session 在 服务 器 端 会 马上 消失 。 除非 程序 通知 服务 器 删除 一 个 session， 否则 服务 
器 会 一 直 保 留 这 个 session 对 象 ， 直 到 session 超时 失效 ， 被 垃圾 收集 机 制 收集 掉 。 

令 人 遗憾 的 是 ， 客 户 在 关闭 浏览 器 时 ， 一 般 不 会 通知 服务 器 。 由 于 关闭 浏览 器 不 会 导致 
session 被 删除 ， 因 此 客户 端 关闭 后 ，session 还 未 失效 的 情况 下 ， 就 给 攻击 者 留 下 获取 session 
中 的 内 容 的 机 会 。 

虽然 sessionId 是 随机 的 长 字符 串 ， 通 常 比较 难 被 猜测 到 ， 这 在 某 种 程度 上 可 以 加 强 其 安 
全 性 ， 但 一 旦 被 攻击 者 获得 ， 就 可 以 进行 一 些 攻击 活动 ， 如 攻击 者 获取 客户 sessionId， 然 后 攻 
击 者 自行 伪造 一 个 相同 的 sessionId4， 访 问 服务 器 ， 实 际 上 等 价 于 伪装 成 该 用 户 进行 操作 。 

为 防止 以 上 因为 sessionId 泄露 而 造成 的 安全 问题 ， 可 以 采用 如 下 方法 : 

1) 在 服务 器 端 ， 可 在 客户 端 登录 系统 时 ， 尽 量 不 要 使 用 单一 的 sessionId 对 用 户 登录 进 
行 验证 。 可 以 通过 一 定 的 手段 ， 不 时 地 变更 用 户 的 sessionId; 

2) 在 客户 端 ， 应 该 在 浏览 器 关闭 时 删除 服务 器 端的 session， 也 就 是 说 在 关闭 时 必须 通 
知 服务 器 端 。 最 简单 的 方法 是 用 JavaScript 实现 。 


4. Web 跨 站 脚本 攻击 


跨 站 脚本 在 英文 中 称 为 Cross-Site Scripting， 缩 写 为 CSS。 但 由 于 层 登 样式 表 (Cascading 
Style Sheets) 的 缩写 也 为 CSS。 因 此 ， 为 了 将 两 者 相 区 别 ， 特 将 跨 站 脚本 缩写 为 XSS。 
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跨 站 脚本 ,顾名思义 ， 就 是 恶意 攻击 者 利用 网 站 漏洞 往 Web 页 面 里 插入 恶意 代码 ， 一 
般 需 要 以 下 几 个 条 件 : 

e 客户 端 访 问 的 网 站 是 一 个 有 漏洞 的 网 站 ， 但 没有 意识 到 ; 

。 在 这 个 网 站 中 通过 一 些 手 段 植 入 一 段 可 以 执行 的 代码 , 吸引 客户 执行 (通过 鼠标 点 击 等 ); 

e 客户 点 击 后 ， 代 码 执行 ， 达 到 攻击 目的 。 

XSS 属于 被 动 式 攻击 。XSS 可 诱 使 Web 站 点 执行 本 来 不 属于 它 的 代码 ， 而 这 些 代 码 由 
攻击 者 提供 ， 攻 击 者 利用 这 些 代码 执行 来 获取 信息 。XSS 涉及 三 方 ， 即 攻击 者 、 客 户 端 与 客 
户 端 访 问 的 网 站 。XSS 的 攻击 目标 是 盗 取 客户 端的 敏感 信息 。 从 本 质 上 讲 , 造成 XSS 漏洞 的 
原因 是 网 站 的 Web 应 用 对 用 户 提交 请 求 参数 未 做 充分 的 检查 过 滤 。XSS 攻击 的 主要 危害 包 
括 : 盗 取 用 户 的 各 类 敏感 信息 ， 如 账号 密码 等 ; 读 取 、 自 改 、 添 加 、 删 除 企业 敏感 数据 ; 读 
取 企 业 重要 的 具有 商业 价值 的 资料 ， 控 制 受害 者 机 器 向 其 他 网 站 发 起 攻击 等 。 一 些 比较 著名 
的 网 站 ， 如 eBay， 也 曾 遭 受过 XSS 攻击 ， 有 兴趣 的 读者 可 参考 相关 资料 。 

如 何 防范 XSS 攻击 呢 ? 主 要 从 网 站 开发 者 角度 和 用 户 角 度 来 阐述 。 

1) 从 网 站 开发 者 角度 ， 需 要 : 

根据 来 自 OWASP( 开 放 应 用 安全 计划 组 织 ) 的 建议 ， 对 XSS 最 佳 的 防护 主要 体现 在 以 下 
两 个 方面 : 

e 对 于 任意 的 输入 数据 应 该 进行 验证 ， 以 有 效 检 测 攻 击 ; 也 就 是 说 ， 某 个 数据 被 接受 

之 前 ， 必 须 使 用 一 定 的 验证 机 制 来 验证 所 有 输入 数据 ， 如 长 度 、 格 式 、 类 型 、 语 法 
等 ; 常见 的 方法 ， 比 如 黑 名 单 验 证 ,就 是 将 一 些 常见 的 字符 (如 “<>” 或 类 似 “script” 
的 关键 字 ) 进 行 过 滤 ， 效 果 比 较 好 ; 不 过 ， 该 方式 也 有 局 限 性 ， 很 容易 被 XSS 变种 攻 
击 绕 过 验证 机 制 。 

e 对 于 任意 的 输出 数据 ， 要 进行 适当 的 编码 ， 防 止 任何 已 成 功 注入 的 脚本 在 浏览 器 端 运 
行 ， 数据 输出 前 ， 确 保 用 户 提交 的 数据 已 被 正确 进行 编码 ， 可 在 代码 中 明确 指定 输出 
的 编码 方式 (如 ISO-8859-1)， 而 不 是 让 攻击 者 发 送 由 他 自己 编码 的 脚本 给 用 户 。 

2) 从 网 站 用 户 角 度 ， 需 要 

e 打开 一 些 Email 或 附件 、 浏览 论坛 帖子 时 一 定 要 特别 谨慎 , 否则 有 可 能 导致 恶意 脚本 
执行 。 可 在 浏览 器 设置 中 关闭 JavaScript 来 防止 执行 恶意 脚本 ， 如 下 所 示 ， 如 果 是 下 
的 话 ， 可 单 击 “ 工 具 ”|“Intemet 选项 ”|“ 安 全 ”|“ 自 定义 级 别 ” 进 行 设置 。 

e 增强 安全 意识 ， 只 信任 值得 信任 的 站 点 或 内 容 ， 不 要 信任 别 的 网 站 发 到 自己 信任 的 
网 站 中 的 内 容 。 

e 使 用 浏览 器 中 的 一 些 配 置 。 

5. SQL 注入 攻击 的 危害 


SQL 注入 在 英文 中 称 为 SQL Injection， 是 黑客 对 Web 数据 库 进行 攻击 的 常用 手段 之 一 。 
在 这 种 攻击 方式 中 ， 恶 意 代码 被 插入 到 查询 字符 串 中 ， 然 后 将 该 字符 串 传递 到 数据 库 服务 器 
执行 ,根据 数据 库 返 回 的 结果 ， 获 得 某 些 数据 并 发 起 进一步 攻击 ， 甚 至 获取 管理 员 账号 密码 、 
窃取 或 算 改 系统 数据 。 

SQL 注入 攻击 的 主要 危害 包括 

。 非法 读 取 、 复 改 、 添 加 、 删 除数 据 库 中 的 数据 ; 
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e 盗 取 用 户 的 各 类 敏感 信息 ， 获 取 利益 ; 

e 通过 修改 数据 库 来 修改 网 页 上 的 内 容 ; 

。 私自 添加 或 删除 账号 ; 

e@ 注入 木马 。 

由 于 SQL 注入 攻击 一 般 利 用 的 是 SQL 语法 , 这 使 得 所 有 基于 SQL 语言 标准 的 数据 库 软 
件 (如 SQL Server、Oracle、MySQL、DB?2 等 ) 都 可 能 受到 攻击 ， 并 且 攻 击 的 发 生 和 Web 编程 
语言 本 身 也 无 关 ， 如 ASP、JSP、PHP， 在 理论 上 都 无 法 完全 幸免。 

SQL 注入 攻击 的 危险 是 比较 大 的 。 其 他 很 多 攻击 ， 如 DoS 等 ， 可 能 通过 防火 墙 等 手段 
进行 阻拦 , 但 是 对 于 SQL 注入 攻击 ， 由 于 注入 访问 是 通过 正常 用 户 端 进行 的 ， 因 此 普通 防火 
墙 对 此 不 会 发 出 警示 ,一 般 只 能 通过 程序 来 控制 ， 而 SQL 攻击 一 般 可 以 直接 访问 数据 库 ， 进 
而 甚至 获得 数据 库 所 在 的 服务 器 的 访问 权 ， 因 此 危害 相当 严重 。 

以 上 问题 的 解决 方法 有 很 多 种 ， 比 较 常见 的 有 : 

1) 将 输入 中 的 单 引号 变 成 双 引 号 。 这 种 方法 常用 于 解决 数据 库 输入 问题 , 同时 也 是 一 种 
对 于 数据 库 安全 问题 的 补救 措施 。 

2) 使 用 存储 过 程 。 

3) 认真 对 表单 输入 进行 校 验 ， 从 查询 变量 中 滤 去 尽 可 能 多 的 可 疑 字 符 。 

可 以 利用 一 些 手段 ， 测 试 输入 字符 串 变量 的 内 容 ， 定 义 一 种 格式 为 只 接受 的 格式 ， 只 有 
此 种 格式 下 的 数据 才能 被 接受 ， 拒 绝 其 他 输入 的 内 容 ， 如 二 进 制 数据 、 转 义 序列 和 注释 字符 
等 。 另 外 ， 还 可 对 用 户 输入 的 字符 串 变 量 进行 类 型 、 长 度 、 格 式 和 范围 验证 并 过 滤 ， 也 有 助 
于 防止 SQL 注入 攻击 。 

4) 在 程序 中 组 织 SQL 语句 时 ， 应 该 尽量 将 用 户 输入 的 字符 串 以 参数 形式 进行 包装 ， 而 
不 是 直接 嵌入 SQL 语言 。 

由 于 很 多 SQL 注入 都 把 用 户 输入 和 原始 的 SQL 语言 嵌 套 组 合成 查询 语句 来 完成 攻击 ， 
而 参数 不 能 被 柑 套 进入 SQL 查询 语言 ， 因 此 该 种 措施 可 以 在 一 定 程度 上 防止 SQL 注入 。 不 
过 , 在 不 同 的 语言 和 产品 里 面 , 做 法 稍 有 不 同 , 如 果 使 用 Java 系列 , 可 使 用 PreparedStatement 
代替 Statement; SQL Server 数据 库 中 可 以 使 用 存储 过 程 ， 结 合 Parameters 集合 ; Parameters 
集合 提供 了 长 度 验证 和 类 型 检查 的 功能 ，Parameters 集合 内 的 内 容 将 被 视 为 字符 值 而 不 是 可 
执行 代码 ，.NET 中 ，SQL 语句 可 以 用 参数 来 包装 等 。 

5) 严格 区 分 数据 库 访问 权限 。 

在 权限 设计 中 , 应 用 软件 的 使 用 者 一 定 要 限制 权限 , 没 必要 赋予 他 们 对 数据 库 对 象 的 建立 、 
删除 等 权限 。 这 样 即使 在 收 到 SQL 注入 攻击 时 ， 有 一 些 对 数据 库 危 害 较 大 的 操作 ， 如 DROP 
TABLE 等 语句 ， 也 不 会 执行 ， 可 最 大 限度 地 减少 注入 式 攻 击 对 数据 库 带 来 的 危害 。 

6) 多 层 架构 下 的 防治 策略 。 

在 多 层 环境 下 ， 用 户 输入 数据 的 校 验 与 数据 库 的 查询 被 分 离 成 多 个 层次 。 此 时 应 该 采用 
以 下 方式 进行 验证 : 

e 用 户 输入 的 所 有 数据 ， 都 需要 进行 验证 ， 通 过 验证 才能 进入 下 一 层 ， 此 过 程 与 数据 

库 分 离 。 
e 没有 通过 验证 的 数据 应 该 被 数据 库 拒绝 ， 并 向 上 一 层 报告 错误 信息 。 
7) 对 于 数据 库 敏感 的 、 重 要 的 数据 ， 不 要 以 明文 显示 ， 要 进行 加 密 。 关 于 加 密 的 方法 ， 
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读者 可 以 参考 后 续 章 节 。 

8) 对 数据 库 查 询 中 的 出 错 信息 进行 屏蔽 , 尽量 减少 攻击 者 根据 数据 库 的 查询 出 错 信息 来 
猜测 数据 库 特征 的 可 能 。 

9) 由 于 SQL 注入 有 时 伴随 着 猜测 ,因此 如 果 发 现 一 个 卫 不 断 进行 登录 或 短 时 间 内 不 断 
进行 查询 ， 可 以 自动 拒绝 此 了 P 的 登录 ;也 可 以 建立 攻击 者 人 P 地 址 备案 机 制 ， 对 曾经 的 攻击 
者 全 进行 备案 ,发 现 此 他， 直接 拒绝 。 

10) 可 以 使 用 专业 的 漏洞 扫描 工具 来 寻找 可 受到 被 攻击 的 漏洞 。 


6. 避免 Web 认证 攻击 


在 Web 应 用 程序 的 安全 中 ， 认 证 是 一 个 重要 的 角色 。 对 于 一 些 受 保护 的 资源 ， 必 须 在 身 
份 验证 的 基础 上 进行 。 认 证 实际 上 属于 权限 控制 的 一 种 ， 前 面 的 章节 阐述 了 权限 控制 方面 的 
一 些 内容 ， 与 传统 的 认证 方式 类 似 ，Web 上 流行 的 认证 类 型 主要 有 以 下 几 种 ， 可 以 归纳 为 以 
下 3 类 : 

1) 用 户 名 /密码 。 因 为 简单 ， 该 种 认证 方法 实际 上 是 当今 Web 上 最 流行 的 认证 形式 。 一 
般 情 况 下 ， 可 提供 表单 让 用 户 输入 用 户 名 /密码 ; 

2) 其 他 认证 方法 。 用 户 名 /密码 方法 也 有 一 些 脆弱 性 ， 于 是 发 明了 一 些 更 强健 的 认证 方 
法 ， 如 基于 令 牌 和 基于 证 书 的 认证 ， 许 多 Web 站 点 都 开始 为 客户 提供 这 种 认证 方法 ; 

3) 认证 服务 。 许 多 大 公司 提供 了 专门 的 认证 服务 ， 如 微软 的 Passport， 实 现 了 一 个 私有 
信息 的 管理 和 认证 协议 ， 而 一 些 Web 站 点 把 其 上 用 户 的 认证 外 包 给 这 些 认 证 服务 公司 。 

Web 认证 攻击 ， 主 要 过 程 是 利用 传统 Web 认证 机 制 的 漏洞 ， 以 各 种 攻击 形式 获取 合法 
用 户 的 身份 信息 (如 用 户 名 /密码 )， 从 而 访问 某 些 资源 、 盗 取 用 户 信息 或 控制 用 户 程序 ， 还 有 
一 种 形式 ， 就 是 利用 漏洞 来 绕 过 Web 认证 , 对 合法 用 户 的 信息 进行 修改 , 或 者 进行 恶意 的 数 


据 传输 。 

Web 认证 攻击 的 方法 有 很 多 ， 用 户 可 根据 实际 情况 采用 不 同 的 手段 加 以 应 对 。 常 见 的 
Web 认证 攻击 方法 有 : 

e 用户 名 枚 举 

e 密码 猜测 


e 密码 窃听 和 重 放 攻 击 等 

实际 上 ，Web 认证 攻击 在 很 多 情况 下 可 通过 SQL 注入 、 窃 听 等 方式 来 实行 ， 对 于 不 同 
的 Web 站 点 ， 无 法 说 明 哪 种 方法 最 好 ， 因 此 此 处 提出 几 个 安全 准则 : 

1) 密码 在 数据 库 中 不 以 明文 存储 ， 可 以 进行 加 密 ， 如 用 MDS5 算法 进行 加 密 等 ， 可 让 攻 
击 者 无 法 直接 得 知 密码 ; 

2) 建立 较 好 的 密码 策略 和 账户 锁定 策略 ， 如 使 用 者 如 果 多 次 尝试 某 个 密码 ,可 以 锁定 其 
账户 ; 

3) 在 账号 和 密码 的 传输 中 ， 使 用 HITPS 方法 来 保护 认证 的 传输 ， 这 样 可 以 较 大 程度 上 
避免 受到 窃听 和 重 放 攻击 的 风险 ; 

4) 进行 严格 的 输入 验证 。 这 是 一 个 常见 的 主题 , 可 有 效 防范 很 多 种 类 的 攻击 ， 如 跨 站 脚 
本 、SQL 注入 、 命 令 执行 等 。 


。56。 软件 安全 测试 及 工具 应 用 


2.2.7 ”远程 过 程 调用 安全 


远程 过 程 调用 (RPC，Remote Procedure CalD) 给 程序 功能 的 扩充 提供 了 较 大 的 支持 。 远 
程 过 程 调用 为 程序 的 分 布 式 应 用 开发 架构 提供 了 技术 支持 , 不 需要 了 解 底层 网 络 通信 协议 ， 
在 应 用 层 通过 网 络 从 远程 计算 机 程序 请 求 服务 。 

传统 的 网 络 分 布 式 程序 需要 进行 复杂 的 底层 通信 编程 ， 但 有 了 远程 过 程 调用 后 ， 开 发 网 
络 分 布 式 应 用 程序 更 容易 了 。RPC 的 出 现 ， 让 开发 者 不 需要 了 解 底层 网 络 通信 协议 ， 直 接 通 
过 网 络 从 远程 计算 机 程序 请 求 服务 。 

RPC 通信 模型 基于 客户 端 /服务 器 通信 模型 ， 是 一 种 同步 通信 方式 ， 即 调用 方 必须 等 待 
服务 器 响应 。 在 客户 端 ，RPC 为 远程 过 程 提 供 了 抽象 ， 在 调用 时 ， 其 底层 消息 传递 机 制 对 客 
户 端 来 说 都 是 透明 的 。 

在 RPC 中 ， 服 务 以 过 程 形式 放 在 服务 器 端 ， 客 户 端 负责 请 求 服务 ， 服 务 器 执行 客户 端 
的 请 求 ， 运 行 被 调用 的 过 程 。 

RPC 在 整个 调用 过 程 中 需要 经 历 的 步骤 如 下 : 

e 客户 端 请 求 进行 远程 调用 ， 激 活 客户 端 存根 ， 指 定 目标 服务 器 ; 

e 客户 端 存根 将 被 调用 的 过 程 和 参数 打包 ， 作 为 消息 发 送 给 服务 器 ， 等 待 数据 消息 的 

返回 ; 

e 服务 器 接收 消息 ,服务 器 存根 根据 消息 中 的 过 程 和 参数 等 信息 ,调用 服务 器 端的 过 程 ; 

e 服务 器 将 结果 作为 消息 返回 给 客户 端 存根 ， 客 户 端 存根 将 结果 返回 给 用 户 。 

客户 端 使 用 桌面 应 用 程序 ， 很 显然 ， 为 应 对 数据 库 的 迁移 或 改变 ， 访 问 数据 库 的 代码 不 
应 写 在 客户 端 ， 否 则 会 造成 大 量 客户 端的 改变 。 此 时 ， 访 问 数据 库 的 代码 写 在 服务 器 端 ， 作 
为 方法 或 过 程 的 形式 对 外 发 布 ， 客 户 端 可 在 不 知道 服务 器 细节 ， 也 不 知道 底层 通信 协议 的 基 
础 上 ， 访 问 服务 器 端的 这 些 方法 ， 就 像 调用 自己 机 器 上 的 方法 一 样 。 客 户 端 不 必 知 道 服务 器 
端的 核心 代码 ， 只 需 知道 接口 即 可 。 

RPC 的 好 处 : 

1) 给 程序 在 异 构 环境 下 进行 通信 提供 了 可 能 ， 异 构 主要 可 以 体现 在 : 

e 网 络 环境 中 的 多 种 硬件 系统 平台 ; 

。 硬件 平台 上 的 不 同系 统 软 件 ; 

e 不 同 的 网 络 协议 或 网 络 体系 结构 连接 等 。 

2) 在 异 构 网 络 环境 下 , 需要 把 分 散在 各 地 的 计算 机 系统 集成 起 来 , 充分 利用 系统 中 分 散 
的 计算 资源 ， 由 网 络 中 的 多 台 计 算 机 协同 工作 完成 某 一 任务 ，RPC 也 给 这 种 需求 的 实现 提供 
了 可 能 。 

RPC 具有 强大 的 网 络 编程 功能 ， 给 编程 带 来 了 极 大 方便 ， 并 为 分 布 式 计算 提供 了 支持 ， 
但 仍 存在 一 些 安全 问题 。 主 要 体现 在 : 

1) 攻击 者 可 能 恶意 调用 RPC 服务 器 中 的 过 程 , 或 输入 一 些 恶 意 的 数据 导致 服务 器 失效 。 
由 于 RPC 处 理 过 程 中 ， 底 层 使 用 的 仍 是 TCP/IP 协议 ， 而 TCP/IP 协议 本 身 存 在 缓冲 区 
溢出 的 问题 , 攻击 者 就 可 能 利用 这 一 漏洞 , 对 系统 进行 攻击 。 一 般 情 况 下 , RPC 使 用 的 是 135 
端口 (RMI 使 用 的 是 1099 端口 )。 攻 击 者 可 伪装 成 合法 客户 端 ， 向 RPC 端口 传送 信息 ， 并 让 
该 信息 溢出 服务 器 端的 RPC 缓冲 区 ， 如 果 客 户 端 发 送 的 信息 经 过 了 精心 设计 ， 那 么 足 可 以 
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执行 恶意 的 代码 。 
通常 , 如 果 服 务 器 被 攻击 , 一 些 基于 RPC 的 服务 , 如 DCOM(Distributed Component Object 
Model， 分 布 式 组 件 对 象 模型 ) 都 将 无 法 正常 运行 。 更 有 甚 者 ， 攻 击 者 有 可 能 获得 对 远程 服务 
器 的 完全 控制 ， 对 服务 器 随意 进行 操作 ， 如 安装 程序 、 算 改 数据 、 格 式 化 硬盘 、 创 建 用 户 或 
增加 权限 等 。 
通常 利用 以 下 方法 来 解决 此 问题 : 
e 利用 防火 墙 封 堵 端 口 。 可 以 设置 防火 墙 的 分 组 过 滤 规 则 ， 过 滤 掉 RPC 端口 和 影响 到 
DCOM 函数 调用 的 数据 包 ， 通 过 这 种 方法 ， 可 以 避免 防火 墙 内 的 系统 被 外 部 攻击 。 
e “临时 禁用 某 些 服务 ， 如 DCOM。 如 果 因 为 一 些 特殊 原因 无 法 过 滤 RPC 端口 ， 也 可 临 
时 关闭 DCOM 服务 来 保证 网 络 安 全 。 不 过 ， 该 方法 将 导致 系统 运行 异常 ， 因 此 一 般 
不 建议 使 用 。 有 关 方 法 可 参考 相关 文档 。 
2) 客户 端 和 服务 器 之 间 传 递 的 信息 可 能 被 窃听 ; 攻击 者 可 能 对 传输 中 的 数据 进行 算 改 。 
在 RPC 通信 机 制 中 ， 调 用 组 件 和 返回 客户 信息 都 通过 传送 消息 进行 ， 由 于 消息 在 传送 
过 程 中 采取 的 安全 措施 比较 简单 ， 很 容易 被 非法 用 户 截获 ， 造 成 信息 泄密 。 
为 保证 网 络 系统 中 的 消息 信息 的 安全 ， 可 采用 数据 加 密 和 解密 的 方法 来 实现 。 这 里 可 采 
用 加 密 解密 与 数字 签名 来 实现 ， 该 方法 在 后 续 章节 中 将 有 详细 叙述 。 


2.3 本 章 小 结 


本 章 首先 讲述 SSDL 的 相关 知识 。 为 将 测试 计划 的 利益 最 大 化 ，SSDL 与 系统 开发 生命 
周期 进行 了 结合 。 在 项 目 起 始 阶段 ， 相 关 的 SSDL 阶段 称 作 “安全 原则 、 规 则 及 规章 ”。 这 
些 是 必须 在 早期 进行 定义 ， 而 且 被 当 作 安 全 性 实现 的 保护 性 原则 。 

安全 需求 在 业务 分 析 和 需求 阶段 被 定义 。 安 全 需求 的 定义 涉及 所 有 的 风险 承担 者 、 需 要 
交流 的 术语 以 及 需要 进行 教育 的 人 。 

在 原型 、 设 计 和 架构 阶段 ， 安 全 小 组 通过 指导 架构 评审 、 威 胁 建 模 来 指出 所 有 潜在 的 安 
全 漏洞 ， 从 而 为 这 一 阶段 的 工作 提供 支持 。 

安全 编码 原则 有 助 于 防止 在 代码 中 潜入 安全 漏洞 。 在 软件 开发 中 , 应 始终 坚持 这 些 原则 。 
白 盒 、 黑 盒 和 灰 盒 测试 技术 将 结合 集成 和 测试 阶段 来 开展 工作 。 在 首次 软件 构建 基本 形成 之 
后 ， 将 开展 系统 测试 。 

判定 可 利用 性 在 整个 生命 周期 都 会 进行 ， 该 活动 将 在 系统 开发 为 产品 并 进入 维护 阶段 期 
间 最 终 定案 。 在 整个 测试 生命 周期 内 ， 都 需要 对 安全 项 目 评审 和 评估 活动 进行 指导 ， 从 而 开 
展 持续 改进 活动 。 

安全 部 署 所 需 考虑 的 事项 必须 实现 。 随 着 安全 测试 的 展开 ， 可 对 度量 标准 进行 评价 ， 同 
时 还 需要 对 最 终 评审 和 评估 活动 给 予 指导 ， 从 而 能 够 做 出 有 充分 依据 的 决策 。 

在 生命 周期 的 最 后 ， 应 完成 安全 的 应 用 程序 部 署 。 安 全 的 部 署 意味 着 软件 使 用 了 安全 的 
默认 值 进行 安装 ， 文 件 的 许可 权限 进行 了 恰当 的 设置 ， 并 在 应 用 程序 的 配置 中 使 用 了 安全 的 
设置 。 

必须 在 维护 阶段 做 好 判定 可 利用 性 、 判 定 漏洞 及 补丁 管理 工作 。 如 果 在 开发 时 觉得 某 部 分 
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会 成 为 安全 问题 , 就 应 该 立即 对 代码 进行 修正 , 从 而 消除 所 有 可 能 成 为 安全 问题 的 疑虑 。 但 是 ， 
如 果 软 件 已 经 部 署 ， 那 么 进行 一 次 修正 的 代价 就 变 得 非常 高 郧 。 这 种 情况 下 ， 应 使 用 判定 可 利 
上 性 技术 ， 免 得 在 绝对 必要 的 情况 之 外 ， 给 用 户 带 来 额外 的 花费 和 工作 。 

本 章 随后 主要 对 软件 编程 的 安全 方面 进行 了 介绍 ， 包 括 内 存 安全 、 进 程 与 线程 安全 、 异 
常 与 错误 处 理 、 输 入 安全 、 面 向 对 象 中 的 安全 、Web 编程 安全 和 远程 调用 安全 的 知识 。 

内 存 安全 主要 讲解 缓冲 区 溢出 问题 ， 对 攻击 方式 和 应 对 方法 进行 了 介绍 。 讨 论 了 进程 与 
线程 安全 的 概念 与 区 别 ， 以 及 死 锁 的 概念 。 异 常 与 错误 是 编程 中 经 常 要 考虑 的 问题 ， 对 异常 
与 错误 的 处 理 至 关 重 要 。 对 于 输入 问题 ， 无 论 是 外 部 输入 ， 还 是 程序 内 部 数据 的 传递 ， 都 要 
进行 安全 性 检验 。 面 向 对 象 安全 中 冰 述 了 对 象 的 内 存 释 放 过 程 的 安全 和 对 象 序列 化 的 问题 。 
Web 编程 安全 介绍 了 Web 编程 中 的 URL 攻击 、 页 面 状 态 值 、 跨 站 脚本 攻击 、SQL 注入 攻击 
以 及 Web 认证 攻击 的 基本 知识 。 最 后 讲述 了 远程 过 程 调用 的 攻击 方式 和 应 对 方法 。 


第 3 章 ”软件 安全 技术 


本 章 导 读 
本 章 将 介绍 软件 安全 技术 的 知识 。 加 密 技术 部 分 介绍 常见 加 密 方法 、 原 理 和 密 钥 管 理 。 
认证 技术 部 分 介绍 认证 及 身份 验证 技术 和 访问 控制 技术 。 最 后 讲解 安全 保障 和 网 络 安全 方面 
的 知识 。 
应 掌握 的 知识 要 点 : 
ee 加密 技术 ; 
加 密 方法 与 技术 ; 
密 钥 管理 方法 与 技术 ; 
身份 验证 技术 ; 
访问 控制 技术 ; 
安全 保障 ; 
防火 墙 技术 ; 
入 侵 检 测 ; 
安全 扫描 。 


3.1 加密 技术 


在 信息 时 代 ， 数 据 的 安全 越 来 越 受 到 关注 。 对 于 保存 在 计算 机 上 的 某 些 数据 ， 我 们 希望 
其 信息 不 被 人 所 知 ; 对 于 在 网 络 上 传输 的 重要 数据 ， 我 们 希望 即使 被 敌 方 窃听 也 不 会 泄密 。 
此 时 ， 将 信息 进行 加 密 ， 就 成 了 保障 数据 安全 的 首要 方法 。 

加 密 算法 一 般 可 分 为 对 称 加 密 、 非 对 称 加 密 和 单 向 加 密 三 类 ， 由 于 特点 不 同 ， 在 不 
同系 统 中 具有 不 同 的 应 用 范围 ， 各 类 算法 中 都 有 一 些 代 表 性 算法 。 如 对 称 加 密 体系 中 的 
DES、3DES、AES 算法 ， 非 对 称 加 密 体系 中 的 RSA、DSA 算法 ， 单 向 加 密 中 的 MD5、 
SHA 算法 等 。 

通常 加 密 体系 中 最 核心 的 内 容 是 加 密 算法 和 密 钥 ; 加 密 算 法 通常 公开 ， 加 密 系统 的 安全 
性 取决 于 密 钥 的 隐蔽 性 。 因 此 ， 密 钥 管理 是 加 密 系 统 中 的 重要 工作 。 


3.1.1 加 密 概述 


我 们 知道 ， 信 息 被 敌 方 获取 并 得 知 ， 可 能 被 敌 方 用 于 非法 的 操作 以 获取 利益 ， 加 密 是 以 
某 种 特殊 算法 改变 原 有 的 信息 数据 ， 这 种 情况 下 ， 未 授权 的 用 户 即 使 获得 了 已 加 密 的 信息 ， 
但 是 因为 无 法 知道 解密 的 方法 ， 仍 然 无 法 了 解 信息 的 内 容 。 目 前 ， 数 据 加 密 技 术 已 经 广泛 应 
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用 于 Intemet 电子 商务 、 手 机 网 络 和 银行 自动 取款 机 等 领域 。 加 密 系统 中 有 如 下 重要 概念 : 

e 明文 laintexb: 需要 被 保护 的 消息 ; 
密 文 (ciphertexb: 将 明文 利用 一 定 算 法 进行 改变 后 的 消息 ; 
加 密 (encryption): 将 明文 利用 一 定 算法 转换 成 密 文 的 过 程 ; 
解密 (decryption): 由 密 文 恢复 出 明文 的 过 程 ; 
敌 方 : 也 称 攻 击 者 ， 通 过 各 种 办 法 ， 窃 取 机 密 信息 来 达到 非法 目的 ; 
被 动 攻击 (passive attack); 获取 密 文 ， 目 的 是 经 过 分 析 得 到 明文 ， 这 是 一 类 攻击 的 总 称 ; 
主动 攻击 (active attack): 非法 入 侵 者 采用 算 改 、 伪 造 等 手段 向 系统 注入 假 消息 等 ， 这 
也 是 一 类 攻击 的 总 称 ; 

e 加 密 算法 : 对 明文 进行 加 密 时 采用 的 算法 ; 

e 解密 算法 : 对 密 文 进行 解密 时 采用 的 算法 。 

这 里 特别 需要 强调 的 一 个 概念 是 “ 密 钥 (key)”。 密 钥 包 括 加 密 密 钥 (encryption key) 和 解密 
密 钥 (decryption key)。 由 于 加 密 算法 和 解密 算法 的 操作 通常 是 在 一 组 输入 数据 的 控制 下 进行 的 ， 
这 组 输入 数据 就 叫做 密 钥 ， 在 加 密 时 使 用 的 密 钥 为 加 密 密 钥 ， 解 密 时 使 用 的 密 钥 为 解密 密 钥 。 

在 密码 系统 中 ， 有 两 大 要 素 : 密码 算法 (加 密 算法 和 解密 算法 ) 和 密 钥 。 两 者 之 间 具 有 紧 
密 的 联系 。 以 最 简单 的 “ 恺 撤 加 密 法 ”为 例 ，《 高 卢 战 记 》 中 描述 ， 恺 撤 大 帝 曾 使 用 密码 来 
传递 信息 ， 即 所 谓 的 “ 恺 撤 密 码 ”。 它 是 一 种 替代 密码 ， 通 过 将 字母 按 顺 序 推 后 3 位 起 到 加 
密 作用 。 如 将 字母 A 换 作 字 母 D， 将 字母 B 换 作 字母 E，X、Y、Z 字母 分 别 又 变 为 A、B、 
C 字母 。 如 “China” 可 以 变 为 “Fklqd”; 解密 过 程 相反 。 在 这 个 简单 的 加 密 方法 中 ，“ 向 
右 移 位 ”可 以 理解 为 加 密 算法 ， “3” 可 以 理解 为 加 密 密 钥 。 对 于 解密 过 程 ，“ 向 左 移 位 ”， 
可 以 理解 为 解密 算法 ，“3” 可 以 理解 为 解密 密 钥 。 显 然 ， 密 钥 是 一 种 参数 ， 它 是 在 明文 转换 
为 密 文 或 将 密 文 转换 为 明文 的 算法 中 输入 的 数据 。 恺 撤 加 密 法 的 安全 性 来 源 于 两 个 方面 : 对 
密码 算法 本 身 的 保密 ;对 密 钥 的 保密 。 

只 针对 密码 算法 进行 保密 ， 以 保护 信息 ， 在 学 界 和 业界 已 有 相当 多 的 讨论 ， 一 般 认 为 是 
不 够 安全 的 。 目 前 业界 中 广泛 认为 ， 加 密 之 所 以 安全 ， 是 因为 其 密 钥 的 保密 ， 并 非 加密 算 法 
本 身 的 保密 。 因 此 ， 密 码 算法 一 般 公 开 ， 而 将 密 钥 进行 保密 。 如 果 攻 击 者 要 通过 密 文 得 到 明 
文 ， 除 非 对 每 一 个 可 能 的 密 钥 进行 穷 举 性 测试 。 从 后 面 的 篇 幅 将 可 以 看 出 ， 流 行 的 一 些 加 密 
解密 算法 一 般 是 完全 公开 的 。 政 方 如 果 取 得 已 加 密 的 数据 ， 即 使 得 知 加 密 算法 , 若 没有 密 钥 ， 
也 无 法 进行 解密 。 
3.1.2 加密 方法 及 技术 

加 密 技术 从 本 质 上 说 是 对 信息 进行 编码 和 解码 的 技术 。 加 密 将 可 读 信息 (明文 ) 变 为 代码 
形式 ( 密 文 ); 解密 是 加 密 的 逆 过 程 ， 相 当 于 将 密 文 变 为 明文 。 加 密 算法 有 很 多 种 ， 这 些 算法 
一 般 可 分 为 三 类 : 对 称 加 密 、 非 对 称 加 密 和 单 向 加 密 。 


1. 对 称 加 密 


在 对 称 加 密 算 法 中 ， 双 方 使 用 的 密 钥 相同 ， 要 求解 密 方 事先 必须 知道 对 方 使 用 的 加 密 密 
钥 。 其 算法 一 般 公 开 ， 优 势 是 计算 量 较 小 、 加 密 速度 较 快 、 效 率 较 高 。 不 足 之 处 是 ， 通 信 双 
方 使 用 同样 的 密 钥 ， 密 钥 在 传送 的 过 程 中 ， 可 能 被 敌 方 获 取 ， 安 全 性 得 不 到 保证 。 当 然 ， 为 


第 3 章 软件 安全 技术 “61。 


安全 起 见 ， 用 户 每 次 使 用 该 算法 ， 可 以 更 换 密 钥 ， 但 是 原来 通信 的 密 钥 也 不 能 马上 删除 ， 但 
是 这 样 使 得 双方 所 拥有 的 密 钥 数量 很 大 ， 对 于 双方 来 说 ， 密 钥 管理 较为 困难 。 

对 称 加 密 算法 应 用 较 早 ， 技 术 较 成 熟 。 过 程 如 下 : 发 送 方 对 明文 用 加 密 密 钥 和 加 密 算 法 
进行 加 密 处 理 ， 变 成 密 文 ， 连 同 密 钥 一 起 ， 发 送 给 接收 方 ; 接收 方 收 到 密 文 后 ， 使 用 发 送 方 
的 加 密 密 钥 及 相同 算法 的 逆 算 法 对 密 文 解 密 ， 恢 复 为 明文 。 

DES 是 数据 加 密 标准 (Data Encryption Standard) 的 简称 ， 来 源 于 IBM 的 研究 工作 ， 并 在 
1977 年 被 美国 政府 正式 采纳 。 这 种 密 钥 系统 使 用 得 非常 广泛 ， 最 初 开发 DES 是 嵌入 硬件 中 ， 
后 来 在 其 他 领域 得 到 了 发 展 。 在 金融 数据 安全 保护 等 领域 ，DES 发 挥 了 巨大 作用 。 

DES 算法 的 基本 思想 如 下 : 首先 确定 一 个 64 位 的 初始 密 钥 K( 也 称 为 主 密 钥 )， 在 这 64 
位 中 ， 实 际 密 钥 只 有 56 位， 另 有 8 位 是 奇偶 校 验 位 ， 分 布 于 64 位 密 钥 中 ， 每 8 位 中 有 1 位 
奇偶 检验 位 。 要 对 DES 进行 攻击 ， 一 般 只 能 使 用 穷 举 密 钥 搜索 方法 ， 即 重复 尝试 各 种 密 钥 ， 
直到 找到 符合 的 为 止 ， 这 种 做 法 无 法 实现 。 

3DES， 即 三 重 DES， 是 DES 的 加 强 版 ， 也 是 DES 的 一 种 更 安全 的 变形 。 在 原理 上 ， 它 
使 用 3 个 56 位 ( 共 168 位 ) 的 密 钥 对 数据 进行 三 次 加 密 ， 和 DES 相 比 ， 安 全 性 得 到 了 较 大 的 提 
高 。 实 际 上 ，3DES 是 一 个 过 渡 的 加 密 算法 。1999 年 , NIST 将 3DES 指定 为 DES 向 AES 过 渡 
的 加 密 标准 。3DES 以 DES 为 基本 模块 ， 通 过 组 合 分 组 方法 设计 出 分 组 加 密 算 法 。 若 三 个 密 钥 
互 不 相同 ， 本 质 上 就 相当 于 用 一 个 长 为 168 位 的 密 钥 进 行 加 密 ， 大 大 加 强 了 数据 的 安全 性 。 若 
数据 对 安全 性 要 求 不 高 ， 可 让 其 中 的 两 个 密 钥 相等 ， 这 样 ， 密 钥 的 有 效 长 度 也 有 112 位 。 

AES 在 密码 学 中 是 高 级 加 密 标准 (Advanced Encryption Standard) 的 缩写 , 该 标准 是 NIST 
推出 旨 在 取代 DES 的 21 世纪 的 加 密 标 准 ， 已 被 多 方 分 析 且 广 为 使 用 ， 在 对 称 加 密 系统 中 
成 为 最 流行 的 算法 之 一 。AES 算法 已 被 广泛 应 用 于 各 个 领域 。AES 设计 的 密 钥 长 度 有 128 
位 192 位 、256 位 三 种 ， 比 DES 的 56 密 钥 安 全 性 更 强 。 

2. 非 对 称 加 密 


与 对 称 加 密 算 法 不 同 ， 非 对 称 加 密 算法 需要 两 个 密 钥 : 公开 密 钥 (public key) 和 私有 密 钥 
(private key)。 每 个 人 都 可 以 产生 这 两 个 密 钥 ， 其 中 ， 公 开 密 钥 对 外 公开 (可 以 通过 网 上 发 布 ， 
也 可 以 传输 给 通信 的 对 方 )， 私 有 密 钥 不 公开 。 对 于 同一 段 数据 ， 利 用 非 对 称 加 密 算法 具有 如 
下 性 质 ， 如 果 用 公开 密 钥 对 数据 进行 加 密 ， 那 么 只 有 用 对 应 的 私有 密 钥 才能 对 其 解密 ， 如 果 
日 私有 密 钥 对 数据 对 其 进行 加 密 ， 那 么 只 有 用 对 应 的 公开 密 钥 才能 对 其 解密 。 

非 对 称 加 密 算 法 的 基本 过 程 是 ， 首 先 ， 通 信 前 ， 接 收 方 随机 生成 一 对 公开 密 钥 和 私有 密 
钥 ， 将 公开 密 钥 公开 给 发 送 方 ， 自 己 保留 私有 密 钥 ， 然 后 发 送 方 利用 接收 方 的 公开 密 钥 加 密 
明文 ， 使 其 变 为 密 文 ， 最 后 接收 方 收 到 密 文 后 ， 使 用 自己 的 私有 密 钥 解密 密 文 ， 获 得 明文 。 

目前 ， 在 非 对 称 密码 体系 中 ， 使 用 得 比较 广泛 的 非 对称 加 密 算法 有 RSA 和 美国 国家 标准 
局 提出 的 DSA 等 。 与 对 称 加 密 算法 相 比 ， 非 对 称 加 密 算法 的 保密 性 比较 好 ， 在 通信 过 程 中 ， 
只 有 公开 密 钥 在 网 络 上 传输 ， 即 使 公开 密 钥 被 敌 方 获取 ， 也 没有 用 ; 因此 ， 基 本 不 必 担 心 密 钥 
在 网 上 被 截获 而 引起 安全 问题 。 但 该 加 密 体系 中 ， 加 密 和 解密 花费 时 间 较 长 、 速 度 较 慢 ， 一 般 
情况 下 ， 不 适合 对 大 量 数据 进行 加 密 ， 只 适用 对 少量 数据 进行 加 密 。 

RSA 算法 出 现 于 20 世纪 70 年 代 ， 既 能 用 于 数据 加 密 ， 也 能 用 于 数字 签名 。 由 于 其 易于 
理解 和 容易 操作 而 广泛 流行 。 该 算法 由 了 Ron Rivest、Adi Shamir 和 Leonard Adleman 发 明 ， 也 
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就 以 三 人 的 名 字 命名 。 针 对 RSA 的 研究 比较 广泛 ， 在 使 用 过 程 中 ， 经 历 了 各 种 攻击 的 考验 ， 
逐渐 被 普遍 认为 是 目前 最 优秀 的 公 钥 方案 之 一 。RSA 的 安全 性 依赖 于 大 数 的 因子 分 解 ， 虽 然 
目前 并 没有 从 理论 上 证 明 破 译 RSA 的 难度 与 大 数 分 解难 度 等 价 ， 不 过 这 并 不 影响 RSA 的 流 
行 。RSA 可 用 于 数字 签名 ， 具体 操作 时 考虑 到 安全 性 和 信息 量 较 大 等 因素 ， 一 般 可 先进 行 哈 
希 运 算 。 由 于 进行 的 都 是 大 数 计算 , 使 得 RSA 最 大 的 问题 是 运行 时 间 较 长 。 无论 是 软件 还 是 
硬件 实现 ，RSA 的 运行 速度 一 直 不 能 和 DES 相 比 ， 一 般 来 说 只 用 于 少量 数据 加 密 情 况 。 

数字 签名 算法 DSA, Digital Signature Algorithm) 也 是 一 种 非 对 称 加 密 算法 , 被 美国 NIST 
作为 数字 签名 标准 (DSS，Digital Signature Standard)，DSA 一 般 应 用 于 数字 签名 中 。 


3. 单 向 加 密 


另 一 类 算法 是 单 向 加 密 算法 。 该 算法 在 加 密 过 程 中 ， 输 入 明文 后 由 系统 直接 经 过 加 密 算 
法 处 理 ， 得 到 密 文 ， 不 需要 使 用 密 钥 。 既 然 没有 密 钥 ， 那 就 无 法 通过 密 文 恢复 为 明文 。 

那么 这 种 方法 有 什么 应 用 呢 ? 主要 是 可 以 用 于 进行 某 些 信息 的 鉴别 。 在 鉴别 时 ， 重 新 输 
入 明文 ， 并 经 过 同样 的 加 密 算法 进行 加 密 处 理 ， 得 到 密 文 ， 然 后 看 这 个 密 文 是 否 和 以 前 得 到 
的 密 文 相 同 ， 从 而 判断 输入 的 明文 是 否 和 以 前 的 明文 相同 。 

该 方法 计算 复杂 ， 通 常 只 在 数据 量 不 大 的 情形 下 使 用 ， 如 计算 机 系统 口令 保护 措施 中 ， 
这 种 加 密 算法 就 得 到 了 广泛 应 用 。 近 年 来 ， 单 向 加 密 的 应 用 领域 正在 逐渐 扩大 。 应 用 较 多 的 
单 向 加 密 算法 有 : RSA 公司 发 明 的 MD5 算法 ; 美国 国家 安全 局 QNSA) 设 计 、 美 国 国家 标准 
与 技术 研究 院 (NIST) 发 布 的 SHA 等 。 

MDS5 的 全 称 是 Message Digest Algorithm 5( 消 息 摘要 算法 5)， 最 初 的 目标 是 用 于 确保 信 
息 传输 过 程 中 的 完整 一 臻 性 。MD5 算法 由 MD2 和 MD4 发 展 而 来 ， 其 基本 思想 是 ， 将 大 容 
量 信息 变换 成 一 个 定 长 的 大 整数 ， 这 个 大 整数 对 这 个 信息 来 说 是 单 向 的 。 一 般 来 说 ， 这 个 大 
整数 称 为 消息 摘要 。MD5 能 够 获得 随机 长 度 的 信息 ， 然 后 生成 128 位 的 消息 摘要 。MD5 广 
泛 用 于 密码 认证 、 软 件 序列 号 等 领域 。 

安全 散 列 算法 (SHA，Secure Hash Algorithm) 是 NIST 发 布 的 一 个 标准 算法 ， 一 般 称 为 
SHA-1， 该 算法 也 是 一 种 单 向 加 密 算法 ， 输 入 长 度 不 超过 264 二 进 制 位 的 消息 ， 产 生 160 位 
的 消息 摘要 输出 。 消 息 验 证 码 和 MD5/SHA1 算法 的 不 同 之 处 是 : 在 生成 摘要 时 ， 发 送 者 和 接 
收 者 都 拥有 一 个 共同 的 密 钥 。 这 个 密 钥 可 以 是 通过 对 称 密码 体系 生成 的 ， 事 先 被 双方 共有 ， 
在 生成 消息 验证 码 时 ， 还 必须 有 密 钥 的 参与 。 只 有 同样 的 密 钥 才能 生成 同样 的 消息 验证 码 。 


3.1.3 ” 密 钥 安全 


对 称 和 非 对 称 加 密 系统 的 安全 工作 依赖 于 两 个 方面 : 加 密 算 法 和 密 钥 。 一 般 情况 下 ， 加 
密 算 法 都 是 公开 的 ， 所 以 加 密 系统 的 安全 性 依赖 于 密 钥 的 安全 。 一 般 说 来 ， 密 钥 应 满足 以 下 
特性 : 不 同情 况 下 生成 的 密 钥 应 是 独立 的 、 互 不 相关 的 ， 即 每 次 生成 的 密 钥 和 其 他 密 钥 无 关 
密 钥 值 应 是 不 可 预测 的 ， 密 钥 值 在 某 个 范围 内 实现 均匀 分 布 。 

实现 密 钥 之 所 以 具有 以 上 特点 ， 随 机 数 起 到 了 很 大 的 作用 。 随 机 数 生成 是 许多 加 密 操作 
不 可 分 割 的 组 成 部 分 ， 常 被 用 于 密 钥 的 生成 。 同 理 ， 随 机 数 也 应 有 三 个 特性 : 均匀 分 布 ， 数 
值 不 可 预测 ， 互 不 相关 。 如 不 具有 这 几 个 特性 ， 随 机 数 就 被 认为 是 不 良 的 ， 对 系统 的 安全 性 
会 产生 巨大 影响 。 产 生 随 机 数 ， 有 多 种 不 同 的 方法 ， 这 些 方法 被 称 为 随机 数 生成 器 ， 基 本 上 
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所 有 的 高 级 语言 都 封装 了 随机 数 生 成 器 。 

密 钥 管理 是 一 件 很 复杂 的 事情 ， 从 密 钥 的 生成 到 密 钥 的 销毁 等 各 个 方面 都 需要 考虑 。 主 
要 表现 于 : 密 钥 的 管理 体制 ， 密 钥 的 管理 协议 ， 密 钥 生 成 、 分 配 、 销 毁 等 。 由 于 不 同 的 加 密 
体系 ， 密 钥 生 成 之 后 的 使 用 方法 各 不 相同 。 如 对 称 加 密 体系 中 ， 双 方 密 钥 必须 相同 ， 非 对 称 
加 密 体系 中 ， 公 钥 私 钥 成 对 出 现 。 

对 称 加 密 体系 中 的 密 钥 管理 。 对 称 加 密 体系 中 ， 采用 对 称 加 密 技术 的 通信 双方 必须 保证 
采用 的 是 相同 的 密 铀 ， 由 于 密 钥 双方 都 需要 知道 ， 因 此 只 能 通过 秘密 方法 传送 。 这 就 为 密 钥 
的 传递 带 来 了 风险 ， 必 须 保证 彼此 密 钥 的 交换 是 安全 可 靠 的 ， 主 要 是 防止 密 钥 泄露 或 被 敌 方 
更 改 。 因 此 ， 对 称 密 钥 的 管理 和 分 发 工作 是 一 件 很 有 风险 的 事情 。 

解决 这 个 问题 的 方法 一 般 是 : 通过 非 对 称 密码 体系 来 对 对 称 密 钥 进行 管理 (采用 该 方法 的 
一 个 原因 是 由 于 非 对 称 密码 体系 适合 对 少量 数据 进行 加 密 解密 )。 具 体 过 程 如 下 (为 描述 简便 
此 处 只 涉及 密 钥 ， 没 有 涉及 被 加 密 的 数据 信息 ， 实 际 上 ， 被 加 密 的 数据 信息 也 存在 于 通信 过 
程 中 ): 发 送 方 生成 对 称 密 钥 ， 将 其 用 接收 方 的 公开 密 钥 加 密 ， 发 出 ;接收 方 用 自己 的 私 钥 将 
加 密 后 的 对 称 密 钥 解密 ， 得 到 对 称 密 钥 。 由 于 对 信息 的 每 次 发 送 和 接收 ， 都 对 应 了 唯一 的 对 
称 密 钥 ， 因 此 双方 不 需要 对 密 钥 进行 维护 。 另 外 ， 即 使 泄露 了 密 钥 ， 政 方 也 无 法 知道 密 钥 的 
内 容 ， 因 为 他 不 知道 接收 方 的 私人 密 钥 ， 无 法 对 对 称 密 钥 进行 解密 。 这 种 方式 使 得 管理 相对 
简单 和 安全 ， 同 时 ， 访 方法 还 解决 了 对 称 密 钥 中 存在 的 密 钥 自 改 问题 。 

非 对 称 加 密 体系 中 的 密 钥 管理 主要 涉及 的 是 公开 密 钥 管 理 。 一 般 情况 下 ， 通 信 双 方 间 可 
以 使 用 数字 证 书 (公开 和 密 钥 证 书 ) 来 交换 公开 和 密 钥 。 

国际 电信 联盟 QTU) 制 定 的 标准 X.509， 对 数字 证 书 进行 了 定义 ， 利 用 数字 证 书 ， 可 以 确 
定 如 下 内 容 : 证 书 所 有 者 名 称 ， 证书 发 布 者 的 名 称 ; 证 书 所 有 者 的 公开 密 钥 ， 证 书 发 布 者 的 
数字 签名 : 证书 的 有 效 期 及 证 书 的 序列 号 等 。 证 书 发 布 者 一 般 都 是 证 书 管理 机 构 (CA)， 它 是 
通信 各 方 都 信赖 的 机 构 。 

近年 来 , 还 出 现 了 一 些 密 钥 管 理 芯片 。 密 钥 管 理 芯 片 是 专门 为 密 钥 管理 而 设计 的 新 一 代 加 
密 芯 片 。 可 用 于 消费 类 电子 产品 ， 如 视频 处 理 板 卡 的 数据 流 加 密 解密 、 游 戏 机 板 、 路 由 器 、 机 
项 盒 等 。 由 于 其 加 密 解密 速度 较 快 ， 也 得 到 了 较 广 泛 的 应 用 。 


3.2 认证 及 身份 验证 技术 


信息 网 络 中 相互 通信 的 两 个 实体 往往 物理 上 相隔 很 远 ， 甚 至 从 未 谋面 ， 那 么 一 个 实体 如 
何 确定 是 否 真 的 在 和 另 一 个 它 所 期 望 的 实体 通信 ? 这 正 是 认证 及 身份 验证 技术 所 要 解决 的 问 
题 。 面 对 恶意 的 主动 入 侵 者 ， 鉴 别 远程 实体 的 身份 是 十 分 困难 的 ， 密 码 学 通常 能 为 认证 及 身 
份 验 证 提供 良好 的 安全 保证 。 


3.2.1 身份 与 认证 


身份 是 实体 在 信息 系统 中 的 一 种 表示 , 用 于 区 分 不 同 的 实体 。 实体 指定 唯一 的 身份 表示 。 
认证 就 是 将 某 个 身份 与 某 个 实体 进行 绑 定 。 基 于 网 络 的 认证 机 制 要 求实 体 向 某 个 单一 的 系统 
进行 认证 ， 这 个 系统 可 以 是 本 地 的 也 可 以 是 远程 的 。 认 证 具有 传播 性 。 认 证 技术 的 共性 是 对 
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某 些 参数 的 有 效 性 进行 检验 ， 即 检验 这 些 参数 是 否 满足 某 种 预先 确定 的 关系 。 身 份 验证 是 应 
用 系统 安全 的 第 一 道 关 口 ， 是 所 有 安全 的 基础 。 

在 信息 安全 系统 中 ， 某 个 身份 就 对 应 某 个 用 户 。 一 个 身份 可 以 是 一 个 任意 个 数 的 包含 字 
母 和 数字 的 字符 串 表 示 的 名 字 ， 它 可 能 在 某 些 方面 是 受 限 制 的 (如 访问 控制 )。 身 份 可 以 指 由 
多 个 实体 组 成 的 主体 ， 即 群 组 。 群 组 是 可 以 快速 对 实体 集 执行 访问 控制 和 其 他 安全 策略 的 一 
种 简便 方法 ， 可 作为 把 实体 关联 起 来 的 基础 。 群 组 模型 有 静态 模型 和 动态 模型 。 如 Alice 属 
于 某 个 实体 集合 就 是 静态 模型 ， 动 态 模型 将 实体 集 动态 组 建成 分 组 。 某 个 身份 可 能 对 应 着 一 
个 角色 集合 。 例 如 ， 当 UNIX 用 户 登 录 后 ， 它 们 被 分 配 到 一 个 群 组 成 为 该 群 组 的 成 员 。 用 户 
参与 的 每 个 进程 都 具有 两 种 身份 ， 即 用 户 身份 和 群 组 身份 。 

身份 鉴别 是 向 信息 安全 系统 表明 某 个 身份 的 过 程 ， 是 通过 将 证 据 与 实体 身份 绑 定 来 实现 
的 。 证 据 与 身份 之 间 是 一 一 对 应 的 关系 。 双 方 通信 过 程 中 ， 一 方 实体 向 另 一 方 实体 提供 证 据 
证 明 自 己 的 身份 ， 另 一 方 通过 相应 机 制 来 验证 证 据 ， 以 确定 该 实体 是 否 与 证 据 所 宣称 的 身份 
一 致 。 

当 用 户 登 录 计 算 机 、 自 动 柜员 机 、 电 话 银行 系统 或 其 他 通信 终端 时 ， 如 何 确认 该 用 户 是 
谁 呢 ? 认证 可 以 确认 用 户 的 身份 ， 可 以 防止 恶意 用 户 对 信息 的 主动 攻击 。 

身份 验证 就 是 某 个 实体 证 明 他 /她 就 是 他 /她 所 说 的 某 个 身份 的 过 程 。 通 过 认证 可 将 一 个 
实体 绑 定 为 信息 安全 系统 内 部 的 一 个 身份 。 认 证 与 身份 鉴别 的 区 别 在 于 ， 认 证 协议 中 Alice 
可 向 Bob 证 明 她 是 Alice， 但 是 任何 其 他 人 都 无 法 向 Bob 证 明 她 也 是 Alice， 即 其 他 人 不 能 在 
Bob 面前 冒充 Alice; 身份 鉴别 协议 中 Alice 可 以 向 Bob 证 明 她 是 Alice， 但 是 Bob 无 法 从 中 
得 到 额外 的 信息 ， 以 便 向 其 他 人 证 明 他 也 是 Alice， 即 Bob 不 能 在 其 他 人 面前 冒充 Alice。 

认证 方法 主要 有 4 种 : 实体 知道 什么 ， 如 身份 证 号 码 、 个 人 识别 码 (PIN，Personal 
Identification Number)、 出 生日 期 (DoB，Date of Birth) 等 。 实 体 拥有 什么 ， 如 证 章 、 信 用 卡 、 
ID 卡 和 密 钥 等 。 实 体 是 什么 ， 如 指纹 、 声 音 、 虹 膜 等 。 实 体 在 哪儿 ， 如 特定 的 大 门 、 特 殊 的 
终端 、 特 别 的 访问 设备 等 。 

单 向 认证 是 A、B 双方 在 网 上 通信 时 ，B 只 需要 认证 A 的 身份 即 可 。 在 简单 的 认证 协议 
中 ， 往 往 一 方 是 主动 提问 并 验证 对 方 的 身份 ， 而 另 一 方 则 处 于 被 动 的 地 位 接受 检验 ， 许 多 访 
问 控制 所 用 的 认证 协议 就 属于 此 类 。 但 在 很 多 网 络 应 用 场合 ， 通 信 双 方 实际 上 是 完全 对 等 的 
实体 ， 他 们 同样 有 权 要 求 验证 对 方 的 身份 以 维护 自身 的 利益 。 这 就 是 所 谓 的 双向 认证 问题 。 

双向 认证 是 A、B 双方 在 网 上 通信 时 ，B 不 但 要 认证 A 的 身份 ，A 也 要 认证 B 的 身份 。 
双向 认证 不 是 两 个 单 向 认证 协议 的 简单 重复 。 如 果 所 用 的 加 密 算法 和 密 钥 是 安全 的 ， 那 么 相 
应 的 协议 可 以 认为 是 安全 的 。 但 如 果 将 质询 应 答 认证 协议 用 两 次 ， 用 于 双向 认证 时 就 却 很 容 
易 被 攻击 者 找到 漏洞 。 

可 信 第 三 方 认 证 也 是 一 种 通信 双方 互相 认证 的 方式 ， 但 认证 过 程 必须 借助 于 一 个 双方 都 
信任 的 可 信 第 三 方 。 当 双方 欲 进行 通信 时 ， 彼 此 必须 先 通 过 可 信 第 三 方 的 认证 ， 相 互 交 换 密 
钥 ， 然 后 通信 。 由 这 种 借助 于 可 信 第 三 方 的 认证 方法 变化 而 来 的 认证 协议 相当 多 ， 其 中 典型 
的 例子 就 是 Kerberos 认证 协议 。 


3.2.2 身份 验证 技术 
身份 验证 一 般 涉 及 识别 和 验证 两 个 方面 的 内 容 。 识 别 是 指 要 明确 访问 者 是 谁 ， 即 必须 对 
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系统 中 的 每 个 合法 用 户 都 有 识别 能 力 。 要 保证 识别 的 有 效 性 ， 必 须 保证 任意 两 个 不 同 的 用 户 
都 不 能 具有 相同 的 识别 符 。 所 谓 验证 是 指 在 实体 声称 自己 的 身份 后 ， 信 息 安全 系统 对 他 所 声 
称 的 身份 进行 确认 ， 以 防 假冒 。 识 别 信息 一 般 是 非 秘密 的 ， 而 验证 信息 必须 是 保密 的 。 身 份 
验证 技术 是 指 计算 机 及 网 络 系统 确认 操作 者 身份 的 过 程 所 应 用 的 技术 手段 ， 身 份 验证 技术 有 
很 多 形式 ， 包 括 口令 、 质 询 应 答 认证 协议 、 利 用 信物 的 认证 技术 、 生 物 认证 技术 等 。 

全 得 全 
令 是 与 特定 实体 相关 联 的 信息 ， 用 来 证 明 实体 所 声称 的 身份 确实 属于 该 实体 。 基 于 口 
令 的 认证 方法 属于 “实体 知道 什么 ”。 实 体 提供 一 个 口令 ， 安 全 系统 检查 这 个 口令 的 有 效 性 。 
如 果 这 个 口令 和 这 个 实体 相关 联 ， 那 么 这 个 实体 的 身份 被 认证 通过 了 。 和 否则 ， 这 个 实体 被 拒 
绝 ， 认 证 失败 。 

另 一 种 与 口令 类 似 ， 根 据 “实体 知道 什么 ”进行 身份 验证 的 方法 是 : 当 某 用 户 第 一 次 进 
入 系统 时 ， 系 统 向 他 提出 一 系列 问题 ， 如 他 曾 就 读 的 高 中 全 称 、 他 父母 的 血型 、 他 喜欢 的 
作者 名 字 以 及 他 喜欢 的 颜色 等 。 不 是 所 有 问题 都 必须 回答 ， 但 要 回答 足够 多 的 问题 。 有 些 
系统 还 允许 用 户 添加 自己 定义 的 一 些 问 题 与 答案 。 系 统 要 记 住 用 户 的 问题 与 相应 的 答案 ， 
以 后 当 该 用 户 再 访问 系统 时 ， 系 统 就 要 向 他 提出 这 些 问题 ， 只 要 他 能 够 正确 地 回答 出 足够 
多 的 问题 ， 系 统 就 认为 该 用 户 具有 他 所 声称 的 合法 身份 。 这 种 方法 的 优点 是 对 用 户 比较 友 
好 ， 用 户 可 以 选择 他 非常 熟悉 而 其 他 人 又 不 容易 获得 正确 答案 的 信息 作为 问题 ， 所 以 安全 
性 是 有 一 定 保障 的 。 缺 点 是 系统 与 用 户 之 间 需 要 交换 的 认证 信息 较 多 ， 有 时 觉得 不 方便 或 
者 比较 麻烦 。 另 外 ， 这 种 方法 还 需要 在 系统 中 占据 较 大 的 存储 空间 来 存储 认证 信息 ， 认 证 
时 间 也 相应 长 一 些 。 安 全 性 完全 取决 于 对 手 对 用 户 的 背景 知道 多 少 ， 所 以 在 高 度 安全 的 系 
统 中 ， 这 种 方法 仍 不 适用 。 

对 口令 的 最 常见 攻击 就 是 字典 攻击 。 字 典 攻击 通过 重复 试验 和 连续 排 错 的 方法 来 猜测 口 
令 。 常 见 的 字典 攻击 有 两 种 类 型 : 一 是 如 果 补 充 信息 C 和 补充 函数 下 可 以 获得 ， 那 么 针对 每 
一 个 猜测 p 和 每 一 个 计算 fp), 直到 计算 的 结果 与 保存 的 同一 实体 的 补充 信息 C 相 匹配 为 止 
二 是 如 果 验 证 身份 的 认证 函数 集合 工 可 以 获得 ， 那 么 针对 每 一 个 猜测 p 和 每 一 个 计算 Xp)， 
如 果 计 算 结果 为 真 ， 则 Pp 就 是 正确 的 口令 。 对 抗 口令 猜测 的 目的 是 最 大 限度 地 增加 攻击 者 猜 
测 出 正确 口令 所 费 的 时 间 。 口 令 猜 测 攻击 是 不 能 防止 的 ， 因 为 认证 函数 必须 公开 可 用 ， 使 合 
法 用 户 可 以 访问 系统 。 除 了 通过 验证 口令 ， 系 统 无 法 区 别 授权 用 户 与 非法 用 户 。 

令 验 证 是 根据 用 户 知道 什么 来 进行 的 。 口 令 验 证 方法 已 经 广泛 应 用 于 日 常生 活 的 各 个 
方面 ， 从 阿里 巴巴 四 十 大 盗 的 开门 咒语 到 军事 领域 的 哨兵 口令 ， 以 及 目前 在 计算 机 系统 中 的 
注册 口令 。 在 这 种 方法 中 ， 人 们 主要 关注 的 是 口令 的 生成 与 管理 。 

目前 口令 生成 主要 有 两 种 方法 : 一 种 是 由 口令 拥有 者 自己 选择 口令 ; 另 一 种 是 由 计算 机 
自动 生成 随机 的 口令 。 前 者 的 优点 是 用 户 很 容易 记忆 ， 一 般 不 会 筷 记 ， 缺 点 是 易于 猜测 ， 后 
者 的 优点 是 随机 性 好 ， 难 于 猜测 ， 缺 点 是 用 户 记忆 困难 。 用 户 自己 选择 的 口令 大 多 是 用 户 的 
姓名 、 街 道 名 、 城 市 名 、 汽 车 牌照 、 房 间 号 码 、 手 机 号 码 、 倒 过 来 拼写 的 有 意义 的 字 等 。 对 
于 想 要 窃取 他 人 口令 的 人 来 说 ， 这 些 都 是 要 优先 猜测 的 目标 。 

用 户 可 选择 容易 记忆 的 口令 ， 但 要 拒绝 容易 被 猜 到 的 口令 。 容 易 猜测 的 口令 有 以 下 一 些 
类 型 ， 用 户 应 该 避免 。 如 基于 账号 名 的 口令 ; 词典 里 的 词 ， 翻 转 字典 里 的 单词 ;把 字典 单词 
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的 其 中 一 部 分 或 全 部 字母 大 写 ; 将 字典 里 词 中 的 任意 字母 蔡 换 为 控制 字符 ;对 字典 里 的 词 进 
行 简单 变换 ， 对 字典 里 的 词 进行 动词 变化 或 词 形变 换 ， 短 于 6 个 字母 的 口令 ; 仅 包含 大 写 或 
小 写字 母 ， 或 者 字母 和 数字 ， 或 者 字母 和 标点 符号 ; 像 许可 证 号 码 的 口令 ， 首 字母 简略 词 ; 
过 去 用 过 的 口令 ; 字典 单词 的 连接 ; 在 字典 单词 的 前 面 或 后 面 添加 一 些 数字 、 标 点 符号 或 空 
格 ;把 字典 单词 所 有 的 元 音字 母 删除 ， 把 字典 单词 中 的 空格 删除 等 。 

对 口令 的 管理 至 关 重 要 ， 口 令 在 系统 中 的 保存 就 是 一 个 问题 。 对 于 采用 口令 方法 来 认证 
用 户 身份 的 信息 系统 来 说 ， 如 果 同 时 有 许多 用 户 在 其 中 注册 ， 那 么 相应 地 ， 每 个 用 户 都 要 有 
自己 的 口令 ， 并 且 原 则 上 ， 不 同 用 户 的 口令 是 不 同 的。 口令 要 严格 保密 ， 不 能 被 其 他 用 户 得 
到 (不 管用 什么 方法 )。 系 统 要 想 对 用 户 的 身份 进行 认证 ， 就 必须 保存 用 户 的 口令 ， 但 是 口令 
显然 不 能 以 明文 形式 存放 在 系统 中 ， 否 则 口令 很 容易 泄露 。 如 果 采 用 通常 的 加 密 方法 对 存放 
在 系统 中 的 口令 进行 加 密 (如 DES 算法 )， 那 么 加 密 密 钥 的 保存 就 成 了 验证 的 安全 问题 ， 一 旦 
加 密 密 钥 泄露 出 去 ， 就 可 能 把 系统 中 所 有 的 口令 都 泄露 出 去 。 所 以 ， 口 令 在 系统 中 的 保存 应 
该 满足 如 下 要 求 ， 即 利用 密 文 形式 的 口令 恢复 出 明文 形式 的 口令 在 计算 上 是 不 可 能 的 。 口 令 
一 旦 加 密 ， 就 永远 不 会 以 明文 形式 在 任何 地 方 出 现 。 这 就 是 说 ， 要 求 对 口令 进行 加 密 的 算法 
是 单 向 的 ， 只 能 进行 加 密 ， 解 密 是 不 可 能 的 。 系 统 利用 这 种 方法 对 口令 进行 验证 时 ， 首 先 对 
用 户 输入 的 口令 进行 加 密 运 算 ， 将 运算 结果 与 系统 中 保存 的 该 口令 的 密 文 进行 比较 ， 相 等 即 
为 合法 ， 不 相等 即 为 非法 。 

令 管理 的 第 二 个 问题 是 关于 口令 的 传送 问题 。 口 令 一 定 要 以 安全 方式 传送 ， 和 否则 就 可 
能 泄露 使 其 失去 意义 。 用 加 密 方法 解决 不 了 这 个 问题 ， 因 为 即使 采用 加 密 方法 ， 也 必须 对 接 
收 者 的 身份 进行 认证 ， 如 果 对 接收 者 的 身份 不 加 认证 ， 就 无 法 保证 口令 会 正确 地 传送 到 合法 
用 户 手 中 。 而 对 接收 者 的 身份 进行 认证 是 口令 要 解决 的 问题 。 所 以 ， 在 口令 建立 起 来 之 前 无 
法 对 接收 者 的 身份 进行 认证 ， 也 就 无 法 保证 口令 能 传送 到 正确 用 户 的 手中 ， 必 须 考虑 采用 其 
他 方法 。 通 常 采 用 寄 信 的 方式 , 许多 银行 就 是 利用 这 种 方法 向 它们 的 客户 分 送 个 人 PIN 码 的 。 
银行 系统 通常 采用 夹层 信封 ， 由 计算 机 将 口令 印 在 中 间 纸 层 上 ， 外 边 看 不 到 ， 只 有 拆 封 才能 
读 出 。 若 用 户 收 到 的 信封 已 被 拆 阅 ， 可 向 银行 声明 拒 用 此 口令 。 

当 用 户 进入 系统 时 ,诸如 某 些 与 真实 网 页 有 相似 域名 并 且 版 面 看 起 来 很 像 原 网 页 的 虚假 
网 页 ， 用 户 终端 屏幕 上 会 出 现 这 样 的 请 求 “ 请 输入 口令 ”。 假 如 这 时 用 户 未 能 发 现 域名 相差 
一 个 字符 ， 就 会 不 假 思索 地 打 入 他 的 口令 ， 但 这 很 可 能 是 一 个 骗局 。 由 于 系统 没有 向 用 户 证 
明 它 是 真正 、 正确 的 系统 , 用 户 面 对 的 可 能 是 一 个 专门 设计 的 用 于 窃取 用 户口 令 的 假冒 网 页 。 


2. 质询 应 答 协 议 


传统 的 身份 验证 机 制 是 建立 在 静态 口令 的 识别 基础 之 上 的 ， 这 种 以 静态 口令 为 基础 的 常 
规 身 份 验 证 方式 存在 许多 口令 被 窃取 的 隐患。 包括 以 下 几 种 ， 网络 数据 流 窃听 ， 很 多 通过 网 
络 传递 的 认证 信息 是 未 经 加 密 的 明文 (如 FTP、TELNET 等 )， 容 易 被 攻击 者 通过 窃听 网 络 数 
据 分 辨 出 认证 数据 ， 并 提取 用 户 名 和 口令 ， 认 证 信息 截取 、 重 放 ， 简 单 加 密 后 进行 传输 的 认 
证 信息 ， 攻 击 者 会 使 用 截取 、 重 放 方 式 推算 出 密码 ; 字典 攻击 ， 以 有 意义 的 单词 或 者 数字 作 
为 密码 ， 攻 击 者 会 使 用 字典 中 的 单词 来 尝试 用 户 的 密码 ， 穷 举 尝试 ， 这 是 一 种 特殊 的 字典 攻 
击 ， 它 使 用 字符 串 的 全 集 作为 字典 。 如 果 用 户 的 密码 较 短 ， 容 易 被 穷 举 方法 破解 。 

随 着 网 络 应 用 的 深入 化 和 网 络 攻击 手段 的 多 样 化 ， 静 态 口令 认证 技术 由 于 其 自身 的 安全 
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缺陷 ， 已 不 再 适用 于 安全 性 要 求 较 高 的 网 络 应 用 系统 。 针 对 静态 口令 认证 技术 存在 的 安全 缺 
陷 ， 业 界 提 出 了 一 次 性 口令 身份 验证 技术 (One-Time Password Authentication)， 也 称 为 动态 口 
令 认证 技术 。 动 态 口令 认证 就 是 在 登录 过 程 中 加 入 不 确定 因素 ， 使 每 次 登录 时 传送 的 认证 信 
息 都 不 相同 ， 以 提高 登录 过 程 的 安全 性 。 一 次 性 口令 是 质询 应 答 协议 采用 的 方法 之 一 ， 一 个 
令 一 旦 使 用 就 失效 了 。 质 询 应 答 协议 采用 的 方法 之 二 是 硬件 支持 的 质询 应 答 程序 ， 根 据 输 
入 质询 ， 硬 件 设备 计算 出 一 个 适当 的 应 答 。 
质询 应 答 协 议 则 在 对 抗 重 放 攻 击 。 在 质询 应 答 协议 的 每 一 步 均 有 一 个 历史 时 间 惟 ,保证 
了 协议 可 有 效 地 抵抗 重 放 攻 击 。 质 询 应 答 协 议 消 除了 传统 口令 认证 技术 的 大 部 分 安全 缺陷 ， 
能 有 效 抵抗 传统 口令 认证 技术 所 面临 的 主要 安全 威胁 和 攻击 ， 为 网 络 应 用 系统 提供 了 更 安全 
可 靠 的 用 户 身 份 验证 保障 。 
静态 口令 存在 安全 隐患 ， 在 20 世纪 80 年 代 初 ， 一 次 性 口令 的 思想 被 首次 提出 。 一 次 性 
令 即 一 个 口令 只 对 一 次 使 用 有 效 ， 被 使 用 之 后 就 变 为 无 效 口令 ， 这 是 口令 时 效 性 的 一 种 极 
端 形 式 。 在 某 些 场合 ， 质 询 应 答 机 制 使 用 一 次 性 口令 。 考 虑 把 应 答 作 为 口令 ， 由 于 连续 认证 
的 质询 是 不 同 的 ， 因 此 应 答 也 是 不 同 的 。 因 此 ， 每 个 应 答 在 被 使 用 后 就 变 为 无 效 。 
一 次 性 口令 的 基本 思想 是 : 用 户 每 次 同 服务 器 连接 过 程 中 使 用 的 口令 在 网 上 传输 时 都 是 
加 密 的 密 文 ， 而 且 这 些 密 文 在 每 次 连接 时 都 是 不 同 的 ， 也 就 是 说 密 文 是 一 次 有 效 的 。 当 一 个 
用 户 在 服务 器 上 首次 注册 时 ， 系 统 给 用 户 分 配 一 个 种 子 值 (seed) 和 一 个 迭代 值 (iteration), 这 两 
个 值 构成 了 一 个 原始 口令 。 同 时 ， 在 服务 器 端 保留 只 有 用 户 自己 知道 的 口令 ， 口 令 由 数字 、 
字母 、 特 殊 字 符 、 控 制 字符 等 组 成 的 长 为 58 个 字符 的 字符 串 组 成 。 用 户 每 次 向 服务 器 发 出 连 
接 请 求 时 ， 服 务 器 把 用 户 的 原始 口令 传 给 用 户 。 用 户 接 到 原始 口令 后 ， 利 用 口令 生成 程序 ， 
采用 散 列 算法 (如 MD5)， 结 合 口令 计算 出 本 次 连接 实际 使 用 的 口令 ， 再 把 口令 传 回 服务 器 。 
服务 器 保留 用 户 传 来 的 口令 ， 然 后 调用 口令 生成 器 ， 采 用 同一 散 列 算法 ， 利 用 保存 在 服务 器 
端的 口令 和 刚 传 给 用 户 的 原始 口令 自行 计算 生成 一 个 口令 。 服 务 器 把 这 个 口令 与 用 户 传 来 的 
令 进 行 比较 ， 进 而 对 用 户 进行 身份 确认 。 每 次 身份 成 功 认证 后 ， 原 始 口 令 中 的 迭代 值 自动 
减 1。 该 机 制 由 于 每 次 登录 时 的 口令 是 随机 变化 的 ， 每 个 口令 只 能 使 用 一 次 ， 彻 底 防止 了 前 
面 提 到 的 各 种 欠 听 、 重 放 、 假 冒 、 猜 测 等 攻击 方式 。 
使 用 硬件 支持 一 次 性 口令 就 相对 简单 ， 因 为 口令 不 需要 打印 在 纸 上 或 者 输出 到 某 些 中 间 
媒体 。 硬件 支持 的 质询 -应 答 程序 有 两 种 形式 : 通用 计算 机 和 专门 硬件 。 两 者 实现 相同 的 功能 。 
第 一 种 类 型 的 硬件 有 一 个 非 正式 的 名 称 token， 它 提供 了 一 种 对 消息 进行 Hash 和 加 密 的 
机 制 。 使 用 这 种 设备 时 ， 系 统 首 先 发 送 一 个 质询 。 用 户 把 这 个 质询 输入 到 设备 里 ， 设 备 返回 
一 个 适当 的 应 答 。 一 些 设备 要 求 用 户 输入 个 人 口令 ， 并 把 这 作为 密 钥 ， 或 者 结合 质询 一 起 用 
来 产生 应 答 。 
第 二 种 类 型 的 硬件 基于 时 间 。 每 隔 60 秒 ， 就 显示 一 个 不 同 数字 ， 这 些 数字 的 变化 范围 可 
由 系统 决定 。 使 用 这 种 设备 时 ， 用 户 首先 提交 登录 名 ， 系 统 请 求 一 个 口令 ， 接 着 用 户 输入 硬 
件 显示 的 数字 ， 后 面 跟 一 个 固定 的 口令 。 系 统 验证 数字 是 系统 在 当时 期 望 用 户 提交 的 数字 ， 
同时 固定 口令 正确 。 
3. 信物 身份 验证 
对 大 多 数 人 来 说 ， 利 用 授权 用 户 所 拥有 的 某 种 东西 进行 访问 控制 的 方法 并 不 陌生 ， 我 们 
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经 常 使 用 这 种 方法 。 在 日 常生 活 中 ， 几 乎 所 有 人 都 有 钥匙 ， 有 的 用 于 开房 门 ， 有 的 用 于 开 抽 
展 ， 有 的 用 于 开车 子 。 对 信息 系统 的 访问 控制 也 可 以 利用 这 种 方法 。 可 在 信息 系统 终端 上 加 
一 把 锁 ， 使 用 该 终端 的 第 一 步 就 是 用 钥匙 打开 相应 的 锁 ， 然 后 再 进行 相应 的 注册 工作 。 但 对 
信息 系统 来 讲 ， 这 种 方法 的 最 大 缺点 是 它 的 可 复制 性 。 我 们 所 用 的 普通 钥匙 是 可 以 任意 复制 
的 ， 并 且 也 很 容易 被 人 偷 去 。 针 对 这 个 问题 ， 人 们 找到 多 种 解决 方案 。 

磁卡 是 目前 广泛 使 用 的 一 种 设备 ， 它 是 一 个 具有 磁性 条 纹 的 塑料 卡 ， 这 种 卡 已 经 广泛 用 
于 身份 识别 ， 如 信用 卡 、 校 园 一 卡通 、 第 二 代 身 份 证 、 公 交 卡 ， 以 及 对 安全 区 域 的 访问 控制 
等 。 国 际 标准 化 组 织 GSO) 发 布 了 相关 标准 ， 对 卡 的 尺寸 、 磁 条 的 大 小 等 都 有 具体 的 规定 ， 该 
组 织 还 制定 了 其 他 几 个 标准 ， 对 相应 的 数据 记录 格式 也 做 了 规定 。 

磁卡 中 最 重要 的 部 分 是 磁 条 ， 磁 条 中 不 仅 存储 着 数据 ， 而 且 存储 着 用 户 的 身份 信息 。 在 
美国 , 磁卡 一 般 与 个 人 识别 号 PIN 一 起 使 用 。PIN 是 用 于 保护 磁卡 免 受 误 用 的 秘密 识别 代码 。 
PIN 与 密码 类 似 ， 只 有 磁卡 的 所 有 者 才 知道 该 PIN。 只 有 拥有 该 磁卡 并 知道 PIN 的 人 才能 使 
该 磁卡 。 在 脱 机 系统 中 ，PIN 必须 以 加 密 形式 存储 在 磁卡 中 。 识 别 设备 首先 读 出 该 卡 中 的 
身份 信息 ， 然 后 将 其 中 的 PIN 解密 ， 并 要 求 用 户 输入 PIN， 识 别 设备 将 这 两 个 PIN 进行 比较 
以 决定 该 卡 的 持 有 者 是 否 合法 。 在 信息 系统 中 ，PIN 可 以 不 存在 卡 上 ， 而 存在 系统 中 ， 进 行 
认证 时 ， 系 统 把 用 户 输入 的 PIN 与 系统 中 的 PIN 进行 比较 ， 据 此 来 判断 该 卡 的 持 有 者 是 否 具 
有 他 所 声称 的 身份 。 

目前 ， 人 们 常用 的 是 智能 卡 。 这 种 卡 与 普通 磁卡 的 区 别 在 于 ， 这 种 卡带 有 智能 化 的 微 处 
理 器 与 存储 器 ， 具 有 更 高 的 防伪 能 力 ， 一 般 不 易 伪 造 ， 因 而 更 加 安全 。 智 能 卡 已 经 广泛 应 用 
于 我 国 银行 、 电 信 、 交 通 等 社会 的 各 个 方面 ， 非 接触 式 智能 卡 已 被 证 明 是 处 理 大 量 交易 最 有 
效率 的 工具 , 最 明显 的 例子 是 市 政 交 通 一 卡通 。 市 民 持 市 政 交 通 一 卡通 卡 即 可 去 部 分 便利 店 、 
超市 、 西 饼 屋 、 和 餐厅 、 药 店 、 电 影院 刷卡 消费 。 市 民 只 要 拥有 一 张 市 政 交 通 一 卡通 卡 ， 就 可 
以 实现 日 常生 活 中 的 交通 出 行 以 及 日 常生 活 的 一 卡 付费 ， 从 而 为 市 民 提 供 了 一 种 真正 便捷 的 
付费 方式 。 

在 基于 证 书 的 认证 系统 中 ， 对 私 钥 的 保护 是 极其 重要 的 。 一 个 设计 的 更 好 的 系统 会 将 私 
钥 保 护 起 来 ， 并 将 它 与 计算 机 隔 开 。 智 能 卡 就 可 以 做 到 这 一 点 。 尽 管 有 许多 种 类 型 的 智能 卡 ， 
而 用 于 认证 的 智能 卡 看 起 来 就 像 信 用 卡 ， 但 它 包 含 了 一 块 用 来 保存 私 钥 和 证 书 副本 的 计算 机 
芯片 ， 并 且 能 进行 相关 处 理 。 在 为 特定 的 应 用 选择 合适 的 智能 卡 时 ， 必 须 特 别 注意 它们 的 应 
场合 。 一些 额外 的 硬件 令 牌 ,可 使 用 基于 USB 的 接口 来 实现 类 似 的 用 途 。 智 能 卡 需要 特殊 
的 智能 卡 读 卡 器 来 提供 智能 卡 和 计算 机 系统 之 间 的 通信 。 

4. 生物 认证 

前 面 讨论 了 利用 口令 与 信物 进行 身份 验证 的 方法 ， 由 于 口令 可 能 会 被 不 经 意 地 泄露 ， 而 
信物 又 可 能 丢失 或 者 被 人 伪造 ， 所 以 ， 在 对 安全 性 要 求 较 高 的 情况 下 ， 这 两 种 方法 都 不 太 恰 
当 。 为 此 ， 人 们 把 注意 力 集中 在 利用 人 类 特征 进行 认证 的 方法 。 

人 类 特征 可 以 分 为 两 种 : 一 种 是 人 的 生物 特征 ; 另 一 种 是 人 的 行为 特征 。 使 用 生物 特征 
作为 身份 证 明 与 人 类 历史 一 样 悠久 。 通 过 声音 、 外 表 来 识别 一 个 人 ， 通 过 易 容 术 来 冒充 一 个 
人 ， 这 在 古代 就 被 广泛 使 用 ， 这 一 点 在 金庸 先生 的 小 说 中 也 有 类 似 的 描述 。 利 用 人 类 的 生物 
特征 进行 身份 识别 的 历史 已 经 很 长 了 , 特别 是 在 侦破 犯罪 案件 中 。 法 国 在 1870 年 前 的 四 十 多 
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年 中 , 一 直 使 用 一 种 称 为 Bertillon 的 系统 , 它 通 过 测量 人 体 各 部 分 的 尺寸 来 识别 不 同 的 罪犯 ， 
如 前 臂 长 度 、 各 手指 长 度 、 身 高 、 头 的 宽度 、 脚 的 长 度 等 。 

生物 认证 就 是 通过 生物 学 特征 和 行为 特征 来 辨识 每 个 人 的 自动 化 方法 。 常 用 特征 有 指 
纹 、 声 音 、 眼 睛 、 脸 部 或 者 以 上 特征 的 综合 。 当 给 定 用 户 一 个 账号 ， 系 统管 理 员 要 采用 一 系 
列 措施 ， 在 一 个 可 接受 的 错误 程度 内 识别 该 用 户 。 只 要 该 用 户 访问 系统 ， 生 物 认 证 机 制 就 要 
验证 用 户 的 身份 。 只 要 与 声明 用 户 身份 关联 的 已 知 数据 进行 比较 ， 就 可 以 确定 该 用 户 是 得 到 
认证 还 是 被 拒绝 。 人 的 特征 具有 很 高 的 个 体 性 ， 世 界 上 几乎 没有 任何 两 个 人 的 特征 是 完全 相 
同 的 ， 所 以 这 种 方法 的 安全 性 极 高 ， 几 乎 不 能 伪造 ， 对 于 不 经 意 的 使 用 也 没有 什么 副作用 ， 
但 一 般 来 讲 ， 采 用 这 种 方法 费用 都 很 昂贵 。 

人 的 下 意识 动作 也 会 留 下 一 定 特征 ， 不 同 的 人 对 同一 个 动作 会 留 下 不 同 的 特征 ， 这 方面 
最 常见 的 例子 是 手写 签名 。 手写 签名 是 一 种 历史 悠久 的 身份 验证 的 方法 。 商人 之 间 签 订 合同 、 
政府 问 签署 协议 、 某 组 织 下 发 文件 等 活动 都 需要 有 相应 负责 人 的 签字 ， 以 表明 签字 人 对 文件 
的 认可 。 频 繁 进行 签名 的 人 对 这 一 动作 已 经 司空 见 惯 ， 所以， 签名 已 经 成 了 一 种 条 件 反射 的 
动作 ， 它 已 经 不 受 手臂 肌肉 的 人 为 控制 ， 从 而 成 为 一 种 下 意识 的 动作 。 这 种 动作 的 结果 会 留 
下 许多 特征 ， 如 书写 时 的 用 力 程度 、 笔 记 的 特点 等 , 根据 这 些 特征 就 能 认证 出 签名 人 的 身份 。 


3.3 访问 控制 技术 


访问 控制 是 在 保障 授权 用 户 能 获取 所 需 资源 的 同时 ， 拒 绝 未 授权 用 户 的 安全 机 制 ， 是 信 
息 安全 的 重要 组 成 部 分 。 在 认证 和 授权 后 ， 访 问 控制 机 制 将 根据 预先 制定 的 规则 对 用 户 访问 
的 资源 进行 控制 ， 只 有 规则 允许 的 资源 才能 访问 。 访 问 方式 可 以 是 获取 信息 、 修 改 信息 或 者 
完成 某 种 功能 ， 一 般 是 读 、 写 或 执行 。 


3.3.1 访问 控制 和 安全 机 制 的 设计 原则 


1. 访问 控制 技术 


访问 控制 是 指 主体 依据 某 些 控制 策略 或 者 权限 对 客体 或 其 资源 进行 的 不 同 授权 访问 。 访 
问 控制 包括 三 个 要 素 : 主体 (Subjecb、 客 体 (Objecb 和 控制 策略 。 控 制 策略 是 主体 对 客体 的 访 
问 规则 集 。 规 则 集 定义 了 主体 对 客体 的 作用 行为 和 客体 对 主体 的 条 件 约束 。 访 问 控制 策略 体 
现 了 一 种 授权 行为 ， 也 就 是 客体 对 主体 的 权限 允许 ， 这 种 允许 不 能 超越 规则 集 。 

在 讨论 信息 保护 问题 时 , 从 概念 上 说 , 可 为 每 个 需要 保护 的 客体 建立 一 个 坚固 的 保护 墙 。 
保护 墙 上 留 有 一 个 门 ， 门 前 有 一 名 门卫 ， 所 有 对 客体 的 访问 都 首先 在 门 前 接受 门卫 的 检查 。 
在 整个 系统 中 ， 有 很 多 客体 ， 因 而 有 很 多 保护 墙 和 门卫 。 对 客体 的 访问 控制 机 制 的 实现 可 分 
为 两 种 类 型 .面向 标签 (Ticket-Oriented) 的 实现 和 面向 名 单 (List-Oriented) 的 实现 。 在 面向 标签 
的 实现 中 ， 门 卫 手 中 持 有 一 份 对 一 个 客体 的 描述 。 在 访问 活动 中 ， 主 体 携带 一 张 标签 ， 标 签 
上 有 一 个 客体 的 标识 和 可 以 访问 的 方式 ， 门 卫 把 主体 所 持 标 签 中 的 客体 标识 与 自己 手中 的 客 
体 标识 进行 对 比 ， 以 确定 是 否 允 许 访问 。 在 整个 系统 中 ， 一 个 主体 可 能 持 有 多 张 标签 。 在 面 
向 名 单 的 实现 中 , 门卫 手中 持 有 一 份 所 有 授权 主体 的 名 单 及 相应 的 访问 方式 , 在 访问 活动 中 ， 


。70* 


软件 安全 测试 及 工具 应 用 


主体 出 示 自 己 的 身份 标识 ， 门 卫 从 名 单 中 进行 查找 ， 检 查 主体 是 否 记 录 在 名 单 上 ， 以 确定 是 
否 允 许 访 问 。 
访问 控制 的 目标 分 为 以 下 几 个 方面 


2 


机 密 性 要 求 ， 防 止 信息 泄露 给 未 授权 的 用 户 。 一 般 来 说 ， 系 统 中 的 某 些 信息 非常 重 
要 ， 如 公司 的 财务 信息 以 及 个 人 用 户 的 信用 卡 账号 等 。 对 于 这 些 信息 来 说 ， 任 何 未 
经 授权 的 信息 泄露 都 会 给 企业 和 个 人 带 来 损失 。 

完整 性 要 求 ， 防 止 未 授权 的 用 户 对 信息 的 修改 。 完 整 性 要 求 是 为 了 保证 系统 资源 处 
于 一 个 有 效 的 、 符 合 预期 的 状态 ， 防 止 资源 被 不 正确 或 不 适当 地 修改 。 同 时 ， 也 为 
了 维护 系统 不 同 部 分 的 一 致 性 。 

可 审计 性 要 求 ， 防 止 用 户 对 访问 过 某 信息 或 执行 过 某 一 操作 进行 否认 。 

可 用 性 要 求 ， 保 证 授权 用 户 对 系统 信息 的 可 访问 性 。 可 用 性 是 为 了 保证 系统 顺利 工 
作 ， 即 保证 已 经 获得 授权 的 用 户 对 系统 信息 的 可 访问 性 。 当 系统 可 用 性 要 求 有 冲突 
时 ， 必 须 创 建新 的 安全 规则 。 如 果 系 统 的 安全 性 很 好 ， 但 某 些 情 况 下 不 可 用 ， 那 么 
这 个 系统 也 不 是 一 个 成 功 的 系统 。 


安全 机 制 设计 原则 


设计 与 实现 安全 机 制 的 基本 原则 包括 以 下 8 个 原则 : 


最 小 权限 原则 ， 分 配给 系统 中 的 每 个 程序 和 每 个 用 户 的 权限 应 该 是 它们 完成 工作 所 
必须 享有 的 权限 的 最 小 集合 ， 这 和 “需要 知道 ”原则 类 似 。 如 果 主 体 不 需要 访问 特 
定 客体 ， 则 主体 就 不 应 该 拥有 访问 这 个 客体 的 权限 。 

自动 防 故障 默认 原则 ， 访 问 判 定 应 建立 在 显 式 授权 而 不 是 隐 式 授权 的 基础 上 。 显 式 
授权 指定 的 是 主体 应 该 拥有 的 权限 ， 隐 式 授权 指定 的 是 主体 不 应 该 拥有 的 权限 。 默 
认 情 况 下 ， 没 有 明确 授权 的 访问 方式 ， 应 该 视 为 不 允许 的 访问 方式 。. 

权限 分 离 原则 ， 为 一 项 权限 划分 出 多 个 决定 因素 ， 仅 当 所 有 决定 因素 均 具 备 时 ， 才 
能 行使 该 项 权限 。 例 如 ， 一 个 档案 柜 设 有 两 把 钥匙 ， 由 两 个 人 掌管 ， 仅 当 两 个 人 都 
提供 钥 是 时 ， 档 案 柜 才 能 打开 。 如 果 其 中 任何 一 人 不 提供 钥匙 ， 都 无 法 打开 档案 柜 。 
同样 ， 系 统 在 对 资源 访问 授权 时 也 至 少 应 该 满足 两 个 条 件 。 这 种 方法 提供 了 一 种 资 
源 的 细 粒 度 访问 控制 ， 也 保证 了 访问 的 合法 性 。 

完全 仲裁 原则 ， 对 每 个 客体 的 每 次 访问 都 必须 经 过 检查 ， 以 确认 是 否 已 经 得 到 授权 。 
只 要 主体 发 出 对 某 客体 的 访问 请 求 ， 操 作 系 统 都 对 该 操作 进行 仲裁 。 操 作 系 统 需要 
检查 该 主体 是 否 被 允许 访问 该 客体 。 如 果 允 许 ， 操 作 系 统 将 提供 访问 所 需 的 资源 。 
如 果 这 个 主体 再 次 请 求 对 该 客体 的 访问 ， 操 作 系 统 必须 再 次 检查 这 个 主体 是 否 还 被 
允许 执行 这 种 访问 。 

开放 式 设计 原则 ， 不 应 该 把 保护 机 制 的 抗 攻击 能 力 建立 在 设计 保密 的 基础 之 上 ， 应 
该 在 设计 公开 的 环境 中 设法 增强 保护 机 制 的 防御 能 力 。 

最 小 公共 机 制 原 则 ， 尽 量 减少 由 两 个 以 上 用 户 共用 和 被 所 有 用 户 依赖 的 机 制 数量 。 
每 个 共享 机 制 都 是 一 条 潜在 的 用 户 间 的 信息 通路 ， 要 谨慎 设计 ， 避 免 无 意 中 破坏 安 
全 性 。 应 证 明 为 所 有 用 户 服务 的 机 制 能 满足 每 个 用 户 的 要 求 。 

机 制 经 济 性 原则 ， 保 护 机 制 应 设计 得 尽 可 能 简单 短小 。 如 果 设 计 和 实现 机 制 简单 ， 
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则 存在 错误 的 可 能 性 就 小 ， 进 程 的 测试 也 就 简单 。 有 些 设 计 和 实现 中 的 错误 可 能 产 
生意 想不到 的 结果 ， 而 这 些 错误 在 常规 使 用 中 察觉 不 到 。 简 单 短小 的 设计 是 这 类 工 
作成 功 的 关键 。 

e 心理 可 接受 性 原则 ， 为 使 用 户 方便 自如 地 正确 运用 保护 机 制 ， 用 户 界面 应 设计 得 便 
于 使 用 。 可 以 理解 为 安全 机 制 可 能 给 系统 增加 了 额外 负担 ， 但 这 种 负担 必须 是 最 小 
的 而 且 合理 。 


3.3.2 ”访问 控制 列表 


访问 控制 列表 (ACL，Access Control Lisb 是 以 文件 为 中 心 建 立 的 访问 权限 表 。 目 前 ， 大 
多 数 PC、 服 务 器 和 主机 都 使 用 ACL 作为 访问 控制 的 实现 机 制 。ACL 的 优点 是 实现 简单 ， 对 
系统 性 能 影响 较 小 。 

从 概念 上 说 ， 访 问 控制 可 以 通过 使 用 和 维护 一 个 访问 控制 矩阵 (ACM，Access Control 

Matrix) 来 实现 。 访 问 控制 矩阵 是 通过 和 矩阵 形式 表示 访问 控制 规则 和 授权 用 户 权限 的 方法 。 访 
问 控制 矩阵 是 二 维 的 ， 包 含 三 个 元 素 : 主体 、 客 体 和 访问 权限 。 对 主体 而 言 ， 拥 有 对 哪些 客 
体 的 哪些 访问 权限 ， 而 对 客体 而 言 ， 有 哪些 主体 可 以 对 它 实施 访问 。 将 这 种 关联 关系 加 以 描 
述 ， 就 形成 了 访问 控制 矩阵 。 其 中 ， 特 权 用 户 或 特权 用 户 组 可 修改 主体 的 访问 控制 权限 。 访 
问 控制 矩阵 的 行 对 应 于 主体 ， 列 对 应 于 客体 。 第 i 行 第 j 列 的 元 素 是 访问 权限 的 集合 ， 列 出 
了 人 允许 主体 对 客体 进行 访问 的 权限 。 
如 果 系 统 中 用 户 和 资源 都 非常 多 ， 而 每 个 用 户 可 能 访问 的 资源 有 限 ， 将 出 现 庞大 的 访问 
控制 矩阵 中 存在 很 多 空 值 的 情况 ， 从 而 造成 矩阵 的 存储 空间 的 浪费 。 简 单 的 解决 方式 是 将 访 
问 控制 矩阵 按 行 或 按 列 进行 划分 。 如 果 按 行 划分 ， 得 到 访问 控制 能 力 表 。 即 对 于 每 个 用 户 ， 
能 力 表 列 出 可 以 使 用 的 客体 和 对 客体 的 访问 能 力 。 如 果 按 列 进行 划分 ， 可 得 到 广泛 应 用 的 访 
问 控制 列表 。 即 对 于 每 个 资源 ， 访 问 控制 列表 中 列 出 可 能 的 用 户 和 用 户 的 访问 权限 。 

访问 控制 列表 是 基于 访问 控制 矩阵 中 列 的 自主 访问 控制 区 , 它 在 一 个 客体 上 附加 一 个 主体 
明细 表 ， 来 表示 各 个 主体 对 这 个 客体 的 访问 权限 ， 明 细 表 中 的 每 一 项 都 包括 主体 的 身份 和 主体 
对 这 个 客体 的 访问 权限 。 访 问 控制 列表 机 制 适 合 于 少数 需要 被 区 分 的 用 户 ， 并 且 这 些 用 户 大 都 
比较 稳定 。 如 果 访 问 控制 列表 太 大 或 经 常 改变 ， 那 么 维护 访问 控制 列表 就 成 为 一 个 问题 。 

1. Windows NT 访问 控制 列表 


Windows NT 系统 中 共享 对 象 的 访问 权限 是 由 对 象 所 有 者 决定 的 。 如 果 用 户 想 共享 某 个 
对 象 , 他 首先 要 为 该 对 象 选择 唯一 的 名 字 , 然后 为 其 他 用 户 和 组 分 配 访问 权限 。Windows NT 
允许 用 户 或 组 对 文件 或 目录 执行 以 下 6 种 操作 : 读 、 写 、 执 行 、 删 除 、 改 变 许 可 和 获取 拥 
有 权限 ， 这 些 权限 称 为 普通 权限 。 

WindowsNT 文件 的 普通 权限 分 为 以 下 几 类 : no access， 主体 不 能 访问 该 文件 ， read， 主体 
能 读 或 执行 该 文件 ，change， 主 体能 读 、 执 行 、 写 或 删除 该 文件 ，full control， 主 体 拥有 该 文件 
的 所 有 权限 ; special access， 人 允许 分 配 任 意 权 限 ; special access， 人 允许 分 配 任 意 权限 的 组 合 。 

Windows NT 目录 的 普通 权限 分 为 以 下 几 类 : no access， 主 体 不 能 访问 该 目录 ; read， 主 
体能 读 或 执行 该 目录 中 的 文件 ，list， 主 体能 列 出 该 目录 中 的 内 容 ， 并 且 也 可 转 入 该 目录 下 的 
子 目 录 ; add， 主 体能 在 该 目录 下 创建 文件 或 子 目 录 ; add and read， 是 普通 权限 add 和 read 
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的 结合 ; change， 主 体能 创建 、 读 、 执 行 或 写 该 目录 下 的 文件 ， 也 能 删除 子 目录 ; full control， 
主体 拥有 该 目录 下 的 文件 及 其 子 目录 的 所 有 权限 ; special access， 人 允许 分 配 任意 权限 的 组 合 。 
当 用 户 访问 文件 时 , Windows NT 系统 首先 检查 文件 的 ACL。 如 果 该 用 户 没有 出 现在 ACL 
中 ， 并 且 不 是 ACL 所 列 组 中 的 任 一 成 员 ， 则 访问 被 拒绝 。 否 则 ， 如 果 任 一 ACL 条 目 拒绝 用 
户 的 访问 ， 系 统 就 拒绝 访问 (这 是 一 种 显 式 拒绝 )。 如 果 访 问 不 被 显 式 拒绝 ， 而 用 户 又 在 ACL 
中 出 现 ， 则 该 用 户 的 权限 集 就 是 所 有 指定 此 用 户 的 ACL 条 目 中 权限 集 的 并 集 。 


2. UNIX 访问 控制 列表 


大 多 数 UNIX 操作 系统 都 支持 访问 控制 列表 。UNIX 访问 控制 列表 中 包括 三 类 主体 : 文件 
的 所 有 者 、 组 和 其 他 用 户 ， 有 三 种 访问 权限 : 读 (r, read)， 写 (w, write) 和 执行 (x, execute)。 访 问 
控制 列表 用 9 位 许可 字段 表示 : rwxrwxrwx。 其 中 ， 前 3 位 字段 表示 所 有 者 的 访问 权限 ， 中 间 
3 位 字段 表示 组 的 访问 权限 ， 后 3 位 字段 表示 其 他 用 户 的 访问 权限 。 例 如 ，rw-r- 一 表示 所 有 者 
有 读 、 写 的 权限 ， 组 成 员 有 读 的 权限 ， 其 他 用 户 没有 访问 权限 。 可 见 ， 任 何 用 户 和 组 都 可 以 通 
过 3 个 保护 位 ( 读 、 写 、 执 行 ) 与 文件 相关 联 ， 这 提供 了 一 种 分 配 访问 权限 的 灵活 机 制 。 


3.3.3 能 力 表 


能 力 是 访问 控制 中 的 一 个 重要 概念 ， 它 指 访问 请 求 者 所 拥有 的 一 个 有 效 标签 ， 授 权 标签 
表明 的 持 有 者 可 按 何 种 方式 访问 特定 的 客体 。 用 二 元 组 (x, y) 表 示 对 一 个 客体 的 访问 能 力 ， 其 
中 , x 是 该 客体 的 唯一 的 名 字 , y 是 对 该 客体 x 的 一 组 访问 权限 的 集合 。 访 问 控制 能 力 表 是 以 
用 户 为 中 心 建立 访问 权限 表 。 

能 力 是 为 主体 提供 的 对 客体 具有 特定 访问 权限 的 标志 ， 它 决定 主体 能 和 否 访问 客体 以 及 以 
什么 方式 访问 客体 。 主 体 可 将 能 力 转移 给 为 自己 工作 的 进程 ， 在 进程 运行 期 间 ， 还 可 添加 或 
者 修改 能 力 。 


的 对 象 时 ， 它 可 以 通过 授予 其 他 主体 合适 的 能 力 以 允许 其 他 主体 访问 这 个 对 象 。 同 样 ， 当 一 
个 主体 调用 另 一 个 主体 时 ， 该 主体 可 将 它 的 能 力 或 部 分 能 力 传递 给 被 调用 的 主体 。 

根据 每 个 主体 的 能 力 表 ， 可 决定 主体 是 否 可 对 给 定 的 客体 进行 访问 以 及 进行 哪些 访问 。 
能 力 表 在 时 间 效 率 和 空间 效率 上 都 优 于 访问 控制 年 阵 ， 但 能 力 表 也 有 自身 的 缺点 。 对 于 一 个 
给 定 客体 ， 要 确定 所 有 有 权 访问 它 的 主体 ， 用 户 生成 一 个 新 的 客体 并 对 其 授权 或 删除 一 个 客 
体 时 都 比较 复杂 。 

如 果 主 体 拥有 某 一 对 象 的 能 力 ， 那 么 该 主体 可 访问 这 一 对 象 。 能 力 本 身 就 是 被 保护 的 对 
象 ， 用 户 必须 保护 它们 不 被 修改 。 有 三 种 方法 可 用 于 保护 能 力 表 ， 标签 、 受 保护 内 存 和 加 密 
技术 。 

1) 标签 ， 标 签 式 结构 中 有 一 个 与 每 个 硬件 字 相 关 的 比特 集合 。 标 签 有 set 和 unset 本 
种 状态 。 如 果 标 签 的 状态 是 set， 则 普通 进程 就 可 以 读 这 个 字 ， 但 不 能 更 改 。 如 果 标签 状 
态 是 unset， 则 普通 进程 就 可 以 读 和 修改 。 普 通 进程 不 能 修改 标签 的 状态 ， 只 有 处 于 特权 
模式 下 的 处 理 器 才能 进行 修改 .例如 B5700 系统 使 用 了 标签 式 结构 。 标 签 域 包含 三 个 比 
特 ， 指 示 这 种 结构 如 何 使 用 这 个 字 ( 指 针 、 描 述 符 、 关 型 等 )。 

2) 受 保护 内 存 ， 该 方法 是 使 用 与 内 存 分 页 或 分 段 相关 联 的 保护 比特 。 所 有 的 能 力 表 都 在 
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储 在 一 个 内 存 页 面 中 ， 进 程 只 能 读 取 但 不 能 改变 这 些 内 存 。 例 如 : CAP 系统 不 允许 进程 修改 
存放 指令 的 内 存 分 段 , 它 也 将 能 力 表 存 放 在 这 个 分 段 。 一 个 防护 寄存 器 将 指令 与 能 力 表 隔 开 。 

3) 加 密 技术 ， 密 码 校 验 和 是 实现 信息 完整 性 检验 的 一 种 机 制 。 每 个 能 力 表 都 有 一 个 与 之 
相关 的 密码 校 验 和 ， 该 校 验 和 由 密码 系统 进行 加 密 ， 而 操作 系统 掌握 密 钥 。 当 进程 向 操作 系统 
提交 能 力 表 时 ， 系 统 首先 重新 计算 与 能 力 表 关联 的 密码 校 验 和 。 然 后 ， 系 统 可 使 用 密 钥 加 密 该 
校 验 和 ， 并 将 结果 与 能 力 表 中 存储 的 校 验 和 进行 比较 ,或 者 解密 能 力 表 中 的 校 验 和 ， 并 与 计算 
得 出 的 校 验 和 相 比较 。 如 果 结 果 匹配 ， 那 么 能 力 表 没有 被 修改 ， 否 则 ， 能 力 表 被 拒绝 。 

在 能 力 表 中 ， 如 果 撤 消 对 一 个 客体 的 访问 权限 ， 需 要 撤消 所 有 对 该 客体 授权 的 能 力 表 。 
理论 上 ， 要 求 对 每 个 进程 进行 检查 ， 删 除 相 关 能 力 表 。 但 这 种 操作 开销 过 大 ， 所 以 要 使 用 其 
他 替代 方法 。 

最 简单 的 机 制 是 间接 客体 引用 。 定 义 一 个 或 多 个 全 局 客体 表 ， 在 此 模式 下 ,每 个 客体 在 表 
中 有 一 对 应 的 条 目 。 能 力 表 不 直接 指定 客体 名 字 ， 而 是 指定 客体 在 全 局 客体 表 中 的 条 目 。 


这 样 所 有 对 该 客体 的 引用 都 将 返回 一 条 无 效 条 目 , 访问 被 拒绝 。 如 果 只 撤消 客体 的 部 分 权限 ， 
该 客体 可 以 有 多 个 条 目 ， 每 个 条 目 对 应 不 同 的 访问 权限 集 或 不 同 的 用 户 组 。 例 如 : Amoeba 
系统 使 用 的 是 这 种 方案 。 要 撤消 一 个 能 力 表 , 客体 的 拥有 者 请 求 服务 器 改变 能 力 表 的 随机 数 ， 
并 发 布 新 的 能 力 表 。 这 样 可 将 现 有 的 能 力 表 置 为 无 效 。 

另 一 种 撤消 权限 的 机 制 是 使 用 抽象 数据 类 型 管理 器 。 每 种 抽象 数据 类 型 中 包含 一 个 权限 
撤消 子 程序 。 当 访问 权限 被 撤消 时 ， 类 型 管理 器 只 需 禁止 被 收回 权限 的 主体 再 次 访问 即 可 。 

对 于 能 力 表 来 说 ， 如 果 出 示 有 效 的 能 力 ， 则 允许 访问 ， 不 会 验证 能 力 持 有 者 的 身份 。 能 
力 表 更 适用 于 分 布 式 环境 。 保 护 机 制 和 命名 可 合 为 一 体 ， 使 访问 控制 更 加 灵活 。 访 问 控制 列 
表 可 以 提供 更 好 的 保护 ， 因 为 它 总 是 在 允许 用 户 访问 之 前 识别 用 户 ， 也 更 容易 跟踪 使 用 对 象 
的 人 。 


3.3.4” 锁 与 钥匙 


锁 与 钥匙 的 技术 结合 了 访问 控制 列表 和 能 力 表 的 特性 。 一 部 分 信息 ( 锁 ) 与 客体 相关 联 ， 
另 一 部 分 信息 (钥匙) 与 授权 访问 该 客体 的 主体 以 及 允许 主体 访问 客体 的 方式 相关 联 。 当 主体 
打算 访问 客体 时 ， 就 检查 主体 的 钥匙 集 。 如 果 主 体 有 一 把 钥匙 与 客体 的 任 一 把 锁 相 对 应 ， 就 
赋予 主体 正确 的 访问 类 型 。 

与 其 他 访问 控制 机 制 不 同 ， 锁 与 钥匙 具有 动态 的 特点 。 访 问 控制 列表 是 静态 的 ， 必 须 人 
为 进行 修改 。 而 锁 与 钥匙 会 因 响 应 系统 的 约束 、 增 加 条 目的 通用 指令 或 其 他 任何 因素 而 发 生 
改变 ， 不 需要 手工 修改 。 

在 锁 与 钥 是 的 密码 学 实现 中 ， 客 体 o 由 一 个 密 钥 加 密 ， 主 体 拥有 解密 密 钥 。 为 了 访问 客 
体 ， 主 体 对 客体 进行 解密 。 系 统 实现 了 一 种 名 为 or-access 的 方法 ， 人 允许 n 个 主体 访问 数据 。 
该 方法 使 用 n 个 不 同 密 钥 对 数据 的 n 个 副本 进行 加 密 ， 每 个 主体 拥有 一 个 密 钥 。 系 统 也 可 以 
实现 and-access 方法 ，n 个 主体 的 访问 请 求 同 时 发 生 才 不 拒绝 访问 。 使 用 n 个 密 钥 进行 迭代 
加 密 ， 每 个 主体 拥有 一 个 密 钥 。 

以 IBM370 系统 为 例 ， 它 为 每 个 进程 分 配 一 个 访问 密 钥 ， 并 为 每 个 页 面 分 配 一 个 存储 密 
钥 及 一 个 提取 比特 。 如 果 提取 比特 被 清 零 ， 则 只 允许 读 访 问 。 如 果 提取 比特 置 为 1 且 访 问 密 
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钥 是 0， 该 进程 可 对 任意 页 面 进行 写 操作 。 如 果 访 问 密 钥 不 是 0， 也 不 与 存储 密 钥 匹配 ， 则 进 
程 不 能 访问 该 页 面 。 


3.3.5 ”基于 环 的 访问 控制 方法 


Multics 系统 是 一 个 分 时 操作 系统 ， 该 系统 开始 作为 一 个 合资 项 目 ， 是 1964 年 由 贝尔 实 
验 室 、 麻 省 理工 学 院 及 美国 通用 电气 公司 所 共同 参与 研发 的 ， 旨 在 开发 一 套 安装 在 大 型 主机 
上 的 多 人 多 工 操作 系统 。 

Multics 系统 推广 超级 用 户 与 用 户 的 状态 表达 , 产生 了 一 种 称 为 基于 环 的 访问 控制 的 保护 
机 制 。 保 护 的 基本 单元 是 内 存 或 磁盘 上 的 一 个 分 段 。 分 段 有 两 类 : 数据 和 程序 。 每 个 分 段 可 
以 有 与 其 相关 的 读 、 写 、 执 行 和 添加 权限 。 这 些 权限 包含 在 访问 控制 列表 中 ， 访 问 控制 列表 
对 每 个 用 户 的 访问 进行 约束 。 

Multics 系统 定义 了 一 系列 保护 环 ， 编 号 为 0 至 63。 这 些 数 字 对 应 同心 保护 环 ， 其 中 环 0 
位 于 中 心 ， 提 供 最 高 级 别 的 保护 。 环 的 编号 越 大 ， 环 中 分 段 的 特权 越 低 。 

根据 下 面 的 访问 规则 ， 程 序 能 “跨越 ” 环 的 边界 。 某 些 情况 下 ， 跨 越 环 将 产生 “ 环 跨越 
错 ”， 并 产生 对 内 核 的 陷入 。 此 时 ，gatekeeper 机 制 将 检查 参数 ， 并 访问 、 执 行 其 他 例 程 以 
限制 环 跨越 。Gate 是 一 个 入 口 点 ， 它 在 程序 中 特别 声明 ， 编 译 器 和 链接 器 生成 特殊 代码 ， 使 
得 这 些 入 口 点 可 被 其 他 程序 使 用 。 

假设 在 环 r 中 执行 的 程序 打算 访问 一 个 数据 段 ， 与 每 一 个 数据 段 关联 的 是 一 对 环 编 号 
(aq1，a2)， 称 为 访问 等 级 ， 其 中 wm 入 mw。 访问 数 据 段 的 规则 如 下 : 当 qay<r 和 as 时 允许 访问 。 
当 r<al 时 允许 读 和 执行 ， 拒 绝 写 和 添加 。 当 mw<r 时 所 有 访问 都 拒绝 。 
假设 该 程序 在 环 r 中 执行 , 打算 访问 一 个 程序 段 。 每 个 程序 分 段 有 一 个 访问 等 级 (a1, a2)， 
和 一 个 调用 等 级 (qa;， as)。 访问 程序 段 的 规则 如 下 : 当 r<al 时 ,允许 访问 , 但 会 发 生 环 跨越 错 。 
当 qr<as 时 ， 允 许 所 有 访问 ， 且 不 会 发 生 环 跨越 错 。 当 as<r 时 ， 拒 绝 所 有 访问 。 

例如 ， 假 设 一 个 数据 分 段 具 有 访问 等 级 (2, 4)， 而 John 有 对 该 数据 分 段 的 读 写 权 限 。 如 
果 John 的 程序 在 环 1 中 执行 ， 则 它 对 此 数据 段 的 读 操作 将 成 功 。 如 果 John 的 程序 在 环 3 中 
执行 ， 则 任意 读 操 作成 功 ， 而 写 操作 失败 。 如 果 John 的 程序 在 环 5 中 执行 ， 则 所 有 访问 请 求 
都 将 失败 。 


3.4 “安全 保障 


在 现实 世界 中 ， 没 有 一 个 系统 是 绝对 安全 的 ， 使 用 安全 保障 技术 可 使 系统 在 安全 性 、 可 
靠 性 和 鲁 棒 性 方面 都 得 到 增强 。 本 章 将 具体 描述 安全 保障 的 相关 概念 、 基 本 思路 和 方法 。 


3.4.1 保障 模型 和 方法 
安全 保障 是 判断 信息 系统 可 信 度 的 基础 ， 安 全 保障 技术 用 来 检验 需求 的 正确 性 以 及 设 
计 、 实 现 和 维护 的 有 效 性 ， 能 显著 提高 系统 的 可 信 度 ， 及 早 发 现 错误 并 修正 错误 。 在 系统 的 


生命 周期 中 ， 从 建立 需求 到 系统 设计 ， 到 开发 ， 再 到 测试 和 维护 ， 每 个 过 程 都 应 该 采用 相应 
的 安全 保障 技术 。 好 的 生命 周期 模型 不 仅 可 以 提高 开发 软件 的 质量 ， 也 可 以 增强 其 安全 性 。 
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1. 安全 保障 和 信任 


系统 的 安全 性 可 能 是 由 几 个 安全 机 制 ， 或 者 是 一 组 定义 清晰 的 安全 需求 和 满足 安全 需求 
的 系统 实现 。 然 而 ， 仅 提供 安全 需求 或 者 一 些 安全 功能 并 不 能 使 一 个 系统 变 成 可 信任 系统 。 
要 证 明 一 个 系统 是 可 信 的 ， 需 要 使 用 一 些 方法 和 尺度 。 如 果 有 足够 的 可 信 事 实证 明 一 个 系统 
满足 一 系列 安全 需求 ， 则 这 个 系统 是 可 信任 的 。 可 信任 系统 是 被 证 明 满足 指定 安全 需求 的 系 
统 ， 是 由 一 个 被 授权 评估 系统 安全 等 级 的 专家 组 织 来 进行 评估 的 。 将 一 个 系统 可 接受 的 信任 
程度 加 以 分 级 ， 凡 符合 某 些 安全 条 件 、 基 准 、 规 则 的 系统 即 可 归 类 为 某 种 安全 等 级 。 将 系统 
的 安全 性 能 由 高 到 低 划分 为 几 个 等 级 ,并且 较 高 的 等 级 的 安全 范围 涵盖 较 低 等 级 的 安全 范围 ， 
也 就 是 说 ， 较 高 的 等 级 比较 低 的 等 级 有 更 严格 的 安全 保障 需求 。 

如 果 有 足够 可 信 的 事实 来 证 明 一 个 系统 满足 一 组 安全 需求 ， 则 这 个 系统 是 可 信任 的 。 信 
任 是 用 来 衡量 一 个 系统 的 可 信任 程度 的 ， 它 依赖 于 所 能 提供 的 可 信 事 实 。 对 信息 系统 的 信任 
应 该 建立 在 系统 的 设计 和 实现 满足 安全 需求 的 事实 基础 上 。 也 就 是 说 ， 可 信任 系统 的 基础 是 
安全 系统 。 

安全 保障 是 通过 使 用 多 种 多 样 的 安全 保障 技术 而 获得 的 ， 这 些 安全 保障 技术 提供 证 据 来 
证 明 系 统 的 实现 和 运行 能 够 满足 安全 策略 中 定义 的 安全 需求 。 安 全 保障 技术 提供 证 据 的 方法 
可 分 为 非 形式 化 方法 、 半 形式 化 方法 和 形式 化 方法 。 

形式 化 方法 是 用 一 套 特制 的 表意 符号 (其 意义 可 以 解释 的 ) 去 表示 概念 、 判 断 、 推 理 ， 获 
得 它们 的 形式 结构 ， 从 而 把 对 概念 、 判 断 、 推 理 的 研究 ， 转 化 为 对 形式 符号 表达 式 系统 的 研 
究 的 方法 。 凡 是 采用 严格 的 数学 工具 、 具 有 精确 数学 语义 的 方法 ， 都 可 称 为 形式 化 方法 。 

非 形式 化 方法 使 用 自然 语言 来 描述 概念 、 判 断 、 推 理 。 此 方法 在 证 明 上 的 严密 性 最 低 。 
半 形 式 化 方法 也 使 用 自然 语言 来 描述 概念 、 判 断 、 推 理 ， 但 也 使 用 了 类 似 形式 化 方法 的 手段 
来 增强 严密 性 的 证 明 。 

要 实现 安全 保障 需求 是 要 付出 许多 代价 的 。 在 任何 硬件 和 软件 系统 中 ， 导 致 安全 隐患 的 
安全 漏洞 是 很 常见 的 。 比 如 一 些 操作 系统 或 应 用 程序 被 应 用 到 不 适当 的 环境 中 ， 或 者 本 身 存 
在 严重 漏洞 ， 其 安全 性 就 会 下 降 。 

信息 系统 安全 问题 有 以 下 几 种 来 源 : 
需求 定义 的 遗漏 和 错误 ; 
系统 设计 的 缺陷 
人 硬件 缺陷 ， 如 接线 和 芯片 的 缺陷 
软件 执行 错误 ， 如 程序 错误 和 编译 错误 ; 
系统 使 用 或 操作 中 的 错误 ， 以 及 不 经 意 的 失误 ; 
故意 滥用 系统 ; 
系统 硬件 、 通 信 部 件 或 其 他 设备 故障 ; 
环境 影响 ， 包 括 自然 因素 和 非 自然 因素 ; 
系统 升级 、 维 护 错 误 以 及 停止 运转 。 

安全 保障 技术 可 以 解决 上 述 来 源 所 引发 的 安全 问题 。 设计 中 的 安全 保障 技术 应 用 到 需求 分 
析 中 可 以 解决 第 1、2 和 6 条 引发 的 安全 问题 。 如 果 安 全 需求 的 定义 有 误 ， 则 系统 安全 的 定义 
肯定 也 是 错误 的 ， 那 么 系统 就 没有 安全 性 可 言 了 。 正 确 分 析 系统 所 面临 的 安全 威胁 ， 在 设计 中 
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应 用 安全 保障 技术 可 以 发 现 设计 中 存在 的 安全 漏洞 ， 以 便 在 系统 实现 和 实施 之 前 纠正 错误 。 

实现 中 的 安全 保障 技术 可 处 理 硬件 和 软件 实现 中 的 错误 (第 3、4 和 7 条 )、 系 统 维护 和 升 
级 的 错误 (第 9 条 )、 系 统 滥用 (第 6 条 ) 和 环境 引发 的 问题 (第 8 条 )。 系 统 操作 过 程 中 的 安全 保 
障 技术 可 处 理 系统 使 用 过 程 中 的 错误 (第 5 条 ) 以 及 系统 滥用 的 问题 (第 6 条 )。 

安全 保障 的 目标 是 表明 系统 从 实现 到 运行 的 整个 生命 周期 中 是 满足 定义 的 安全 需求 的 。 
因为 系统 开发 的 不 同 阶段 使 用 了 不 同 的 安全 保障 技术 ， 于 是 可 将 安全 保障 技术 分 为 策略 的 安 
全 保障 、 设 计 的 安全 保障 、 实 现 的 安全 保障 和 运行 的 安全 保障 。 

策略 的 安全 保障 需要 对 需求 进行 严格 分 析 ， 要 证 明 安全 需求 的 完整 性 和 一 致 性 。 首 先 要 
标识 出 系统 的 安全 目标 ， 然 后 说 明 安全 需求 能 够 应 对 系统 的 威胁 。 当 正确 的 安全 需求 被 定义 
好 ， 并 经 过 证 明和 核准 后 ， 系 统 的 设计 和 实现 工作 才 可 以 有 把 握 地 展开 。 

设计 的 安全 保障 指使 用 安全 工程 的 一 些 技术 方法 来 合理 进行 设计 ， 从 而 实现 安全 需求 。 
同时 还 包括 如 何 衡量 设计 满足 安全 需求 的 程度 。 

实现 的 安全 保障 指使 用 安全 工程 的 一 些 技术 方法 在 开发 和 系统 运行 阶段 正确 地 实现 设 
计 ， 同 时 还 包括 如 何 衡量 实现 与 安全 需求 一 致 性 程度 。 

运行 的 安全 保障 是 通读 系统 的 使 用 说 明 ， 以 保证 系统 不 会 因为 偶然 的 设置 错误 而 处 于 不 
安全 状态 。 

开发 人 员 完成 满足 安全 需求 的 系统 设计 ， 同 时 提供 安全 保障 的 证 据 以 证 明 设 计 的 确 是 满 
足 安 全 需求 的 ， 然 后 就 是 保证 正确 地 实现 了 系统 的 设计 。 每 个 设计 和 实现 的 修正 过 程 之 后 就 
是 一 个 安全 保障 证 明 的 过 程 , 证 明 在 系统 实施 的 过 程 中 , 需求 在 连续 的 层次 中 仍然 是 满足 的 。 
整个 过 程 是 迭代 的 ， 当 安全 保障 过 程 中 出 现 问题 时 ， 要 重新 检查 受到 影响 的 步骤 。 


2. 建造 安全 可 信 的 系统 


为 某 种 应 用 而 考虑 开发 系统 时 ， 系 统 就 开始 了 其 生命 周期 。 首 先 简单 介绍 生命 周期 。 生 
命 周 期 包括 了 一 系列 阶段 ， 每 个 阶段 包括 若干 工作 以 及 如 何 管理 这 些 工作 。 系 统 设计 和 编码 
就 是 工作 的 例子 ， 计 划 、 配 置 以 及 规范 的 选择 和 使 用 都 是 管理 工作 的 例子 。 所 有 这 些 工 作 都 
贯穿 于 系统 从 基本 的 构想 开始 到 项 目的 确定 、 系 统 开 发 、 系 统 实施 、 系 统 维护 、 最 后 到 系统 
退役 的 整个 过 程 中 。 通 常 将 生命 周期 划分 为 若干 阶段 ， 有 些 阶段 与 上 一 个 阶段 是 相关 的 ， 而 
有 些 阶段 是 独立 的 。 每 个 阶段 描述 本 阶段 的 工作 并 控制 和 其 他 阶段 的 交互 。 在 项 目 进行 的 过 
程 中 ， 理 想 情况 是 系统 从 生命 周期 的 一 个 状态 不 断 转移 到 下 一 个 状态 ， 但 在 实践 中 ， 经 常 有 
迭代 的 情况 ， 比 如 当 后 面 阶段 中 发 现 了 前 面 阶段 存在 的 错误 或 者 遗漏 时 ， 就 需要 重新 进行 前 
一 阶段 的 工作 。 

生命 周期 的 瀑布 模型 是 分 阶段 开发 的 模型 ， 在 开发 过 程 中 一 个 阶段 总 是 在 前 一 个 阶段 结 
束 以 后 才 开始 。 瀑 布 模型 包括 5 个 阶段 : 

1) 需求 定义 和 分 析 阶 段 。 这 个 阶段 将 高 层次 需求 更 详细 地 展开 , 同时 在 对 系统 进行 整体 
架构 设计 的 时 候 也 有 可 能 会 产生 新 的 具体 要 求 。 所 以 需求 定义 和 系统 整体 设计 未 完成 之 前 ， 
两 者 之 间 很 有 可 能 有 一 个 反复 迭代 的 过 程 。 需 求 可 分 为 功能 需求 和 非 功 能 需求 。 功 能 需求 描 
述 系 统 与 运行 环境 之 间 的 交互 。 非 功能 需求 是 对 系统 本 身 的 一 些 限制 ， 会 影响 设计 和 实现 。 
需求 只 是 描述 “要 什么 ”而 不 是 “怎么 做 ”。 

2) 系统 和 软件 设计 阶段 。 进 行 系统 和 软件 设计 时 , 一 般 需 要 建立 外 部 功能 规范 和 内 部 功 
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能 规范 。 外 部 功能 规范 描述 系统 的 外 部 特征 ， 如 输入 、 输 出 和 函数 的 约束 ; 内 部 功能 规范 描 
述 使 用 的 算法 、 数 据 结构 以 及 需要 的 内 部 函数 。 这 个 阶段 也 分 为 两 个 子 阶段 ， 系统 设计 和 程 
序 设计 。 系 统 设 计 阶段 设计 整个 系统 ， 程 序 设计 阶段 设计 单个 程序 。 

3) 实现 和 单元 测试 阶段 。 系统 实现 是 在 前 面 系统 设计 的 基础 之 上 实现 系统 程序 , 单元 测 
试 是 测试 程序 中 的 单元 是 否 满足 其 设计 规范 。 

4) 整合 和 系统 测试 阶段 。 系 统 整合 是 将 经 过 单元 测试 的 程序 组 装 成 完整 系统 的 过 程 。 系 
统 测试 是 测试 整个 系统 满足 系统 需求 的 过 程 。 系 统 测试 也 是 一 个 迭代 过 程 ， 因 为 在 测试 中 经 常 
会 发 现 问题 ， 然 后 要 进行 问题 的 修正 。 修 改 后 的 程序 进行 重新 组 装 ， 然 后 进行 系统 测试 。 

5) 系统 运行 和 维护 阶段 。 系 统 开发 完毕 后 ， 投 入 运行 。 系 统 维护 包括 修正 系统 在 运行 过 
程 中 发 现 的 错误 以 及 以 前 发 现 的 尚未 修正 的 错误 。 
在 实际 工程 项 目 中 ， 各 个 阶段 之 间 都 会 有 迭代 ， 因 为 后 一 个 阶段 经 常 可 以 发 现 前 一 个 阶 
段 中 存在 的 不 足 之 处 ， 需 要 重新 进行 前 一 个 阶段 的 工作 。 将 安全 保障 贯穿 于 系统 开发 的 整个 
生命 周期 中 ， 有 助 于 让 系统 实现 安全 需求 。 使 用 生命 周期 模型 并 不 能 保障 没有 错误 发 生 ， 但 
有 助 于 减少 错误 发 生 的 次 数 。 所 以 ， 为 系统 引入 安全 机 制 可 以 提高 系统 的 可 信 度 。 建 造 安全 
可 信 的 系统 ， 要 求 对 系统 设计 和 实现 过 程 中 的 每 一 步 都 适度 地 考虑 安全 保障 。 


3. 需求 定义 和 分 析 中 的 安全 保障 


安全 威胁 指 破坏 保密 性 、 完 整 性 或 者 造成 拒绝 服务 。 安 全 威胁 可 能 来 自 系 统 外 部 ， 也 可 
能 来 自 系统 内 部 ， 可 能 来 自 授 权 的 用 户 ， 也 有 可 能 来 自 非 授权 的 用 户 。 非 授权 用 户 可 以 伪装 
成 合法 的 用 户 ， 或 使 用 欺骗 手段 来 绕 开 安全 机 制 。 安 全 威胁 还 可 能 来 自 人 为 错误 ， 或 者 是 不 
可 预测 的 因素 。 

每 种 被 识别 出 来 的 安全 威胁 都 应 该 有 相应 的 应 对 手段 。 例 如 ， 设 定 一 个 安全 目标 ， 在 访 
问 任何 系统 资源 之 前 ， 所 有 用 户 都 必须 通过 用 户 标识 和 身份 验证 ， 以 此 来 应 对 非法 使 用 系统 
的 威胁 。 有 些 情况 下 ， 安 全 目标 并 不 足以 应 对 所 有 安全 威胁 ， 这 时 需要 对 系统 的 运行 环境 做 
出 一 些 系统 假设 ， 比 如 增加 物理 保护 手段 等 ， 以 应 对 所 有 威胁 。 将 安全 威胁 映射 成 安全 目标 
和 系统 假设 ， 可 以 部 分 解决 系统 安全 需求 的 完整 性 问题 。 

安全 策略 就 是 一 系列 安全 需求 的 规范 说 明 ， 是 提供 安全 服务 的 一 套 准 则 ， 概 括 地 说 ， 一 
种 安全 策略 要 表明 当 系统 在 进行 一 般 操 作 时 ， 什 么 是 安全 范围 允许 的 ， 什 么 是 不 允许 的 。 要 
准确 描述 需求 并 不 是 一 件 容易 的 事情 。 定 义 安全 策略 和 安全 需求 的 方法 有 很 多 ， 一 种 可 行 的 
方法 就 是 从 现 有 安全 标准 中 精 选 出 一 些 可 行 的 需求 ， 另 一 种 方法 是 结合 现 有 的 安全 策略 和 对 
系统 安全 威胁 的 分 析 得 出 新 的 安全 策略 ， 第 三 种 方法 就 是 将 系统 映射 到 现 有 的 一 个 模型 上 。 
当 完 成 了 安全 策略 的 定义 和 规范 ， 就 必须 对 安全 策略 的 完整 性 和 一 致 性 进行 验证 。 

4. 系统 和 软件 设计 中 的 安全 保障 

设计 的 安全 保障 是 确认 系统 设计 满足 系统 安全 需求 的 过 程 。 设 计 保障 技术 需要 用 到 需求 
规范 和 系统 设计 规范 ， 是 一 个 检查 设计 是 否 满足 需求 的 过 程 。 

模块 化 和 分 层 的 设计 和 实现 方法 可 以 简化 系统 的 设计 和 实现 ， 从 而 使 系统 的 安全 分 析 更 
加 可 行 。 如 果 一 个 复杂 系统 有 很 好 的 模块 化 结构 ， 则 它 的 安全 分 析 也 将 更 可 行 。 分 层 方法 也 
简化 了 设计 ， 便 于 更 深入 地 理解 系统 。 另 外 ， 撰 写 设 计 文档 和 规范 也 是 必要 的 ， 为 了 进行 安 
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全 分 析 ， 设 计 文 档 中 至 少 应 该 包括 如 下 三 方面 的 内 容 : 安全 函数 ， 外 部 接口 ， 内 部 设计 。 规 
范 可 以 是 非 形 式 化 的 、 半 形式 化 的 或 者 是 形式 化 的 。 非 形式 化 的 规范 使 用 自然 语言 来 描述 ， 
半 形 式 化 方法 也 使 用 自然 语言 来 描述 规范 ， 同 时 使 用 一 个 整体 方法 强加 某 种 限制 。 形 式 化 方 
法 使 用 数学 语言 和 可 用 机 器 解释 的 语言 。 形 式 化 方法 的 语义 可 以 帮助 检查 出 规范 撰写 中 被 忽 
略 的 一 些 问题 。 

描述 规范 的 方法 决定 了 验证 规范 所 能 使 用 的 技术 。 非 形式 化 和 半 形 式 化 的 规范 描述 是 
不 能 用 形式 化 的 验证 方法 来 分 析 验 证 的 ， 因 为 这 些 规范 描述 使 用 的 语言 不 是 十 分 准确 。 不 
过 还 是 可 以 做 一 些 非 形式 化 的 验证 工作 。 对 于 非 形式 化 的 规范 描述 可 以 验证 其 是 否 满足 需 
求 ， 可 以 验证 不 同 层次 的 规范 文档 是 否 一 致 。 常 用 的 非 形式 化 验证 方法 有 需求 跟踪 、 非 形 
式 化 对 照 和 非 形式 化 讨论 。 

需求 跟踪 是 标识 在 某 个 规范 中 的 不 同 部 分 满足 特定 安全 需求 的 过 程 。 非 形式 化 对 照 的 作 
用 是 展示 设计 规范 与 相 邻 层次 设计 规范 的 一 致 性 。 将 这 两 种 方法 结合 起 来 ， 可 以 更 大 程度 地 
保证 规范 文档 完整 地 、 一致 地 满足 为 系统 定义 的 安全 需求 。 撰写 形式 化 的 设计 规范 开销 很 大 ， 
所 以 ， 撰 写 形式 化 设计 规范 的 开发 者 都 喜欢 使 用 一 些 自动 化 工具 来 完成 这 个 任务 ， 比 如 使 用 
基于 证 明 的 技术 或 者 模型 检验 器 。 对 形式 化 规范 进行 需求 跟踪 可 以 检查 规范 描述 是 否 满足 需 
求 。 在 使 用 形式 化 方法 之 前 先 做 非 形 式 化 论证 有 利于 为 形式 化 的 证 明 提供 思路 。 

形式 化 证 明 技术 是 一 种 通用 技术 ， 通 常 基于 一 些 届 辑 演算 ， 如 谓词 演算 。 这 些 技术 通常 
是 交互 式 的 ， 有 时 称 为 “证 明 检验 者 ”， 这 是 因为 这 种 技术 只 是 验证 证 明 的 步 又 是 否 正确 。 
形式 化 证 明 技术 被 用 于 证 明 一 个 规范 满足 某 个 性 质 ， 自 动 化 的 证 明 工具 可 以 自动 处 理 规范 和 
相应 的 性 质 。 

模型 检验 则 是 检验 特定 规范 是 否 满足 特定 模型 的 约束 。 模 型 检验 器 是 一 种 自动 化 工具 
对 于 一 个 特定 的 安全 模型 ， 模 型 检验 器 用 于 检查 一 个 规范 是 否 满足 该 模型 的 约束 条 件 。 这 种 
检验 常 应 用 于 操作 系统 。 


5. 系统 实现 和 整合 中 的 安全 保障 


证 明 一 个 实现 是 否 满足 安全 需求 的 最 好 方法 就 是 测试 。 安 全 测试 的 方法 可 使 系统 实现 和 
整合 过 程 能 有 更 多 的 安全 保障 。 

系统 是 模块 化 的 ， 在 可 能 的 情况 下， 尽量 将 与 安全 无 关 的 功能 从 实现 安全 功能 的 模块 中 
去 掉 。 系 统 所 使 用 的 语言 也 会 对 安全 保障 产生 一 定 的 影响 。 有 些 语言 对 安全 的 实现 有 很 好 的 
支持 ， 使 用 这 样 的 语言 可 以 避免 一 些 常见 的 缺陷 ， 且 系统 更 可 靠 。 例 如 使 用 C 语言 实现 的 系 
统 , 可 靠 性 有 限 , 因为 C 语言 没有 适当 地 限制 指针 的 使 用 , 并 且 只 有 最 基本 的 错误 处 理 机 制 。 
而 支持 安全 实现 的 语言 能 够 检查 出 许多 实现 上 的 错误 ， 使 用 强 类 型 、 具 有 越界 检查 的 、 模 块 
化 的 、 具 有 分 段 和 分 段 保护 的 、 具 有 垃圾 回收 和 错误 处 理 机 制 的 编程 语言 所 实现 的 系统 是 更 
可 信 的 ， 更 有 安全 保障 。 例 如 Java 就 是 以 实现 安全 代码 为 目标 的 程序 设计 语言 。 但 是 有 时 候 
使 用 高 级 语言 效率 比较 低 ， 此 时 编程 规范 可 以 弥补 语言 在 安全 方面 的 不 足 。 比 如 限制 低级 的 
编程 语言 只 能 在 不 适合 使 用 高 级 语言 的 地 方 使 用 。 
对 模块 化 的 系统 进行 整合 时 ， 良 好 的 模块 设计 和 模块 接口 的 设计 显得 尤为 重要 ， 使 用 
些 管理 方面 的 支持 工具 也 将 很 有 帮助 。 配 置 管理 是 在 系统 开发 和 使 用 期 间 对 任何 系统 硬件 、 
软件 、 固 件 、 文 档 和 测试 文档 的 变动 所 实施 的 管理 。 一 般 由 若干 工具 或 者 手工 处 理 过 程 组 成 ， 
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必须 执行 以 下 操作 : 版 本 控制 和 跟踪 ， 修 改 授权 ， 合 并 程序 ， 实 现 系统 。 

有 两 种 典型 的 测试 技术 : 功能 测试 和 结构 化 测试 。 功 能 测试 ， 也 称 为 黑 盒 测 试 ， 用 于 测 
试 一 个 实体 满足 设计 规范 的 程度 。 系 统 测试 是 对 整合 后 的 系统 进行 的 功能 测试 。 结 构 化 测试 ， 
也 称 为 白 盒 测 试 ， 其 测试 用 例 都 是 在 对 代码 的 分 析 的 基础 上 得 出 的 。 单 元 测试 是 程序 员 在 系 
统 整合 之 前 对 代码 模块 进行 的 测试 ， 一 般 都 是 结构 化 测试 。 第 三 方 测试 ， 也 称 为 独立 测试 ， 
是 由 开发 团队 之 外 的 其 他 方 进行 的 测试 。 

安全 测试 是 解决 产品 安全 问题 的 测试 。 安 全 测试 包括 三 个 部 分 : 安全 功能 测试 ， 主 要 测 
试 相关 文档 中 描述 的 安全 功能 ; 安全 结构 测试 , 主要 对 实现 安全 功能 的 代码 进行 结构 化 测试 ; 
安全 需求 测试 ， 主 要 针对 用 户 需求 中 的 安全 需求 部 分 进行 测试 。 一 般 而 言 ， 安 全 功能 测试 和 
安全 需求 测试 是 单元 测试 和 系统 测试 中 的 一 个 部 分 。 第 三 方 测试 可 能 会 包括 安全 功能 测试 或 
者 只 包括 安全 需求 测试 。 安 全 结构 测试 可 以 是 单元 测试 和 系统 测试 的 一 部 分 。 


6. 系统 运行 和 维护 中 的 安全 保障 


系统 实施 完成 后 进入 运行 阶段 ， 运 行 时 可 能 会 出 现 错误 ， 所 以 还 需要 对 系统 进行 维护 。 
热 修复 只 是 即时 修改 错误 ， 然 后 将 修正 版 本 发 布 。 常 规 修复 解决 不 是 十 分 严重 的 错误 ， 一 般 
是 累积 到 一 定 程度 才 发 行 出 去 。 


3.4.2 审计 


审计 是 事后 认定 违反 安全 规则 行为 的 分 析 技 术 。 在 检测 违反 安全 规则 、 准 确 发 现 系统 发 
生 的 事件 以 及 对 事件 发 生 的 事后 分 析 方 面 ， 审 计 都 发 挥 着 巨大 作用 。 

计算 机 系统 审计 技术 的 发 展 ， 来 源 于 对 访问 的 跟踪 ， 这 些 访问 包括 对 保存 在 信息 系统 
中 的 敏感 及 重要 信息 的 访问 和 对 信息 系统 资源 的 访问 。 己 经 有 一 些 简 单 工具 用 来 分 析 审 计 
记录 ， 并 检查 对 于 系统 及 文件 的 未 授权 访问 。 这 些 工作 的 前 提 是 日 志 机 制 ， 在 日 志 中 记录 
许多 额外 信息 。 

日 志 就 是 记录 的 事件 或 统计 数据 ， 这 些 事件 或 者 统计 数据 能 够 提供 关于 系统 使 用 及 性 能 
方面 的 信息 。 审 计 就 是 对 日 志 记 录 的 分 析 并 以 清晰 、 易 于 理解 的 方式 表述 系统 信息 。 

日 志 提供 了 一 种 安全 机 制 ， 它 能 分 析 系统 的 安全 状态 ， 能 判断 某 个 请 求 的 行为 是 否 会 使 
系统 处 于 不 安全 状态 ， 或 判断 一 个 事件 序列 是 否 会 导致 系统 处 于 不 安全 (或 危及 安全 ) 状 态 。 
例如 ， 日 志 记录 了 所 有 引起 状态 转变 的 事件 ， 系 统 就 能 在 任何 时 候 重建 系统 状态 。 或 者 只 要 
记录 了 这 些 信息 的 一 个 子 集 ， 就 能 够 消除 引起 安全 问题 的 某 些 可 能 因素 ， 也 能 为 进一步 分 析 
提供 有 用 的 基础 。 

审计 机 制 必须 记录 权限 的 使 用 情况 ， 有 了 这 些 记录 和 分 析 ， 审 计 机 制 能 够 阻止 攻击 ， 因 
此 能 确保 检测 到 任何 对 安全 策略 的 破坏 。 那 么 ， 日 志 应 该 记录 哪些 信息 ? 审计 哪些 信息 ? 这 
是 两 个 相互 联系 的 问题 。 要 决定 哪些 事件 和 行为 应 该 被 审计 ， 就 需要 知道 系统 安全 方案 相关 
的 知识 ， 知 道 哪些 尝试 入 侵 是 安全 方案 所 允许 的 ， 知 道 如 何 检测 这 些 尝 试 。 于 是 必须 知道 日 
志 需 要 记录 哪些 信息 ， 入 侵 者 一 定 会 使 用 哪些 命令 来 尝试 入 侵 ， 入 侵 者 一 定 会 产生 哪些 系统 
呼叫 ， 他 们 会 用 何 种 顺序 发 出 这 些 命令 和 系统 呼叫 等 。 所 有 事件 的 日 志 提供 了 这 些 信息 ， 问 
题 是 如 何 辨别 信息 的 哪些 部 分 是 相关 的 ， 确 定 需要 审计 的 关键 问题 。 

一 个 审计 系统 包含 三 个 部 分 : 日 志 记 录 器 、 分 析 器 和 通告 器 ， 它 们 分 别 用 于 收集 数据 、 
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分 析 数 据 和 通报 结果 。 

审计 机 制 的 分 析 建 立 在 日 志 系统 所 记录 的 数据 的 基础 上 ， 并 且 这 个 机 制 分 析 关 于 系统 安 
全 状态 的 相关 信息 ， 决 定 是 否 发 生 了 特定 系统 行为 或 者 是 否 进入 某 种 特定 状态 。 

审计 的 目标 决定 日 志 记 录 哪些 信息 。 一 般 地 ， 审 计 员 希望 检测 到 违反 安全 策略 的 行为 。 
假设 Ai 是 一 个 系统 中 可 能 行为 的 集合 ， 安 全 策略 提供 了 约束 Pi。 为 保证 系统 安全 ， 设 计 必 
须 满足 约束 Pi， 也 就 是 说 必须 审计 那些 使 约束 失败 的 功能 调用 。 

例如 Bell-LaPadula 策略 模型 将 安全 等 级 Li 线性 排列 。 主 体 s 有 等 级 L(s)， 客 体 o 有 等 
级 L(o)。 在 这 个 策略 下 ， 当 LG)<L(o) 时 ，s 读 取 o， 或 者 当 L(s)> L(0) 时 ，s 写 o 是 非法 的 。 
相应 的 约束 就 是 : s 读 o 推出 LS)>=L(o)，s 写 o 推出 LGs)>L(o)。 

违反 安全 策略 的 审计 仅仅 要 求 审计 从 一 个 主体 到 一 个 低级 客体 的 写 ， 或 者 从 一 个 高 级 客 
体 的 读 ， 并 检查 违反 这 些 约束 的 行为 。 日 志 必须 包括 涉及 主体 和 客体 的 安全 等 级 、 行 为 和 结 
果 。 从 这 些 日 志 记录 可 以 非常 容易 地 测试 是 否 有 违反 约束 的 行为 。 这 里 并 不 需要 记录 客体 和 
主体 的 名 字 。 但 在 实际 情况 中 ， 本 地 安全 策略 常 要 求 安全 分 析 员 标识 出 违反 约束 的 客体 和 试 
图 违反 约束 的 用 户 。 如 果 没 有 静态 原则 ， 主 体 可 以 把 它 控制 的 任何 主体 、 客 体 的 安全 级 别 或 
分 类 改变 成 不 比 它 自己 高 的 级 别 。 因 此 需要 记录 操作 命令 、 新 旧 安 全 等 级 和 新 旧 分 类 。 

从 这 个 例子 可 以 得 出 ， 基 于 Bell-LaPadula 系统 的 审计 需要 记录 以 下 内 容 ， 对 于 读 和 写 ， 
需要 记录 主体 的 安全 等 级 、 客 体 的 安全 等 级 和 操作 的 结果 ;对 于 无 静态 原则 的 系统 ， 需 要 记 
录 主 体 或 客体 ， 及 其 新 旧 安 全 等 级 、 改 变 安全 等 级 的 主体 的 安全 等 级 和 改变 结果 。 

如 果 审计 结果 表明 有 违反 安全 规则 的 行为 ， 则 系统 是 不 安全 的 。 但 是 ， 如 果 审 计 结果 表 
明 没有 违反 安全 规则 的 行为 ， 则 系统 仍 可 能 是 不 安全 的 。 因 为 ， 如 果 系 统 的 初始 状态 是 不 安 
全 的 ， 结 果 将 是 (或 者 很 可 能 是 ) 不 安全 的 。 因 此 ， 如 果 用 审计 来 检测 系统 是 否 安全 ， 而 不 是 
检测 攻击 入 侵 的 操作 ， 就 还 需要 获取 系统 的 初始 状态 ， 需 要 一 开始 就 将 系统 状态 转换 中 会 改 
变 的 信息 记录 到 日 志 。 

有 一 个 关键 的 问题 是 如 何 来 操作 日 志 。 比 如 ， 哪 种 数据 应 该 放 入 日 志文 件 中 ， 数 据 该 
如 何 表述 。 但 是 现实 中 ， 许 多 系统 日 志 数 据 模糊 不 清 使 得 不 能 清晰 地 说 明日 志 记 录 所 记录 
的 内 容 ， 所 以 使 用 基于 语法 的 方式 来 定义 日 志 内 容 。 比 如 使 用 BNF 的 表达 方式 ， 使 设计 者 
必须 定义 日 志 内 容 的 语法 和 语义 ， 这 样 分 析 员 就 能 使 用 语法 来 分 析 日 志 记录 。 

当 检 测 出 所 有 可 能 的 违反 安全 规则 行为 时 ， 并 不 代表 能 够 设计 出 有 效 的 审计 系统 。 许 多 
违反 安全 的 行为 是 在 已 有 系统 上 出 现 的 ， 这 些 系统 在 设计 时 并 没有 考虑 安全 因素 。 此 时 ， 审 
计 可 能 有 两 个 不 同 目标 ， 第 一 个 目标 是 检测 对 某 个 安全 策略 的 任何 攻击 ， 此 目标 着 重 安全 策 
略 。 基 本 思路 是 判定 某 个 状态 是 否 违反 了 安全 策略 。 审 计 机 制 必须 结合 到 已 存在 的 系统 中 。 
分 析 员 必 须 分 析 系统 ， 判 定 什么 操作 和 设置 与 安全 策略 一 致 。 然 后 设计 某 种 机 制 来 检查 操作 
和 设置 是 否 真正 与 策略 一 致 。 第 二 个 目标 是 检测 已 知 的 企图 违反 安全 规则 的 操作 ， 此 目标 注 
重 特殊 行为 。 许 多 情况 下 ， 安 全 策略 并 没有 明确 地 定义 ， 然 而 ， 某 些 行为 明显 是 不 安全 的 
如 洪 泛 攻 击 或 未 授权 的 用 户 访问 计算 机 系统 ， 会 违反 潜在 的 安全 策略 。 此 时 ， 分 析 员 可 通过 
命令 的 特定 次 序 或 系统 状态 的 特征 来 寻找 并 发 现 针对 安全 的 攻击 。 

不 同系 统 采用 不 同方 式 处 理 日 志 。 许 多 系统 默认 情况 下 是 记录 所 有 事件 。 对 于 不 需要 记 
录 的 特定 事件 ， 系 统管 理 员 要 进行 显 式 指定 ， 这 就 会 带 来 日 志 膨 胀 问题 。 

对 于 设计 时 考虑 安全 的 系统 ， 将 把 审计 机 制 结合 到 系统 的 设计 和 实现 中 。 和 典型 的 做 法 是 
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提供 某 种 语言 或 界面 ， 以 允许 系统 管理 员 配 置 系统 来 报告 特定 事件 ， 监 控 特 定 主题 或 监控 对 
特定 客体 的 访问 。 

对 于 设计 时 没有 考虑 安全 的 系统 ， 其 审计 系统 能 用 于 检查 出 严重 的 安全 攻击 行为 ， 但 一 
般 不 记录 事件 的 某 些 细节 或 事件 类 型 ,以 使 安全 管理 员 难 以 判定 是 否 有 违反 安全 规则 的 行为 。 


3.4.3 ”系统 评估 


系统 评估 是 一 种 以 具体 的 安全 功能 要 求 和 安全 保障 证 据 为 基础 ， 对 系统 进行 可 信 度 测量 
的 技术 。 通 过 评估 ， 可 指出 系统 满足 具体 标准 的 程度 。 评 估 时 所 采用 的 标准 依赖 于 评估 的 目 
标 以 及 所 采用 的 评估 方法 。 可 信 计 算 机 系统 评估 标准 (TCSEC，Trusted Computer System 
Evaluation Criteria) 是 第 一 个 被 广泛 使 用 的 形式 化 评估 方法 , 随后 的 评估 方法 都 建立 在 TCSEC 
的 基础 之 上 ， 或 是 对 TCSEC 的 改进 。 

TCSEC 标准 是 计算 机 系统 安全 评估 的 第 一 个 正式 标准 ， 具 有 划时代 的 意义 。 该 准则 于 
1970 年 由 美国 国防 科学 委员 会 提出 ， 并 于 1985 年 12 月 由 美国 国防 部 公布 。TCSEC 最 初 只 
是 军用 标准 ， 后 来 扩展 至 民用 领域 。TCSEC 是 按照 评估 等 级 来 组 织 的， 在 各 个 评估 等 级 的 描 
述 中 定义 了 功能 需求 和 安全 保障 需求 。 

TCSEC 将 计算 机 系统 的 安全 划分 为 4 个 等 级 、7 个 级 别 。 每 个 等 级 都 包含 了 相应 的 功 
能 需求 和 安全 保障 需求 。 随 着 评估 级 别 的 提高 ， 功 能 需求 和 安全 保障 需求 都 会 不 断 地 增加 
和 提高 。 

DD 类 安全 等 级 : D 类 安全 等 级 只 包括 D1 一 个 级 别 。 D1 的 安全 等 级 最 低 ， 只 为 文件 和 用 
户 提 供 安全 保护 。D1 系统 最 普通 的 形式 是 本 地 操作 系统 ， 或 者 是 一 个 完全 没有 保护 的 网 络 。 

C 类 安全 等 级 : C 类 安全 等 级 能 够 提供 审慎 的 保护 ， 并 为 用 户 的 行动 和 责任 提供 审计 能 
力 。C 类 安全 等 级 可 划分 为 Cl1 和 C2 两 类 。C1 称 为 自主 保护 。C1 系统 的 可 信任 运算 基础 体 
制 (TCB, Trusted Computing Base) 通 过 将 用 户 和 数据 分 开 来 达到 安全 的 目的 。 在 C1 系统 中 ， 
所 有 用 户 以 同样 的 灵敏 度 来 处 理 数据 ， 即 用 户 认为 Cl 系统 中 的 所 有 文档 都 具有 相同 的 机 密 
性 。C2 称 为 受 控 访 问 保 护 。C2 系统 比 C1 系统 加 强 了 可 调 的 审慎 控制 。 在 连接 到 网 络 上 时 ， 
C2 系统 的 用 户 分 别 对 各 自 的 行为 负责 。C2 系统 通过 登录 过 程 、 安 全 事件 和 资源 隔离 来 增强 
这 种 控制 。C2 系统 具有 C1 系统 中 所 有 的 安全 性 特征 。 

B 类 安全 等 级 : B 类 安全 等 级 可 分 为 Bl1、B2 和 B3 三 类 。 B 类 系统 具有 强制 性 保护 功能 。 
强制 性 保护 意味 着 如 果 用 户 没 有 与 安全 等 级 相连 ,系统 就 不 会 让 用 户 存 取 对 象 。B1 称 为 标签 
安全 保护 。B1 系统 满足 下 列 要 求 : 系统 对 网 络 控制 下 的 每 个 对 象 都 进行 灵敏 度 标 记 ; 系统 使 
用 灵敏 度 标记 作为 所 有 强迫 访问 控制 的 基础 ， 系统 在 把 导入 的 、 非 标记 的 对 象 放 入 系统 前 标 
记 它 们 ;， 灵敏度 标 记 必须 准确 表示 其 所 联系 的 对 象 的 安全 级 别 ， 当 系统 管理 员 创建 系统 或 者 
增加 新 的 通信 通道 或 IO 设备 时 ， 管 理 员 必须 指定 每 个 通信 通道 和 IO 设备 是 单 级 还 是 多 级 ， 
并 且 管 理 员 只 能 手工 改变 指定 ， 单 级 设备 并 不 保持 传输 信息 的 灵敏 度 级 别 ， 所 有 直接 面向 用 
户 位 置 的 输出 (无 论 是 虚拟 的 还 是 物理 的 ) 都 必须 产生 标记 来 指示 关于 输出 对 象 的 灵敏 度 ， 系 
统 必须 使 用 用 户 的 口令 或 证 明 来 决定 用 户 的 安全 访问 级 别 ， 系 统 必须 通过 审计 来 记录 未 授权 
访问 的 企图 。 

B2 称 为 结构 化 保护 。B2 系统 必须 满足 B1 系统 的 所 有 要 求 。 另 外 ，B2 系统 的 管理 员 必 
须 使 用 一 个 明确 的 、 文档 化 的 安全 策略 模式 作为 系统 的 可 信任 运算 基础 体制 。 B2 系统 必须 满 
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足下 列 要 求 : 系统 必须 立即 通知 系统 中 的 每 一 个 用 户 所 有 与 其 相关 的 网 络 连接 的 改变 ， 只 有 
用 户 能 在 可 信任 通信 路 径 中 进行 初始 化 通信 ; 可 信任 运算 基础 体制 能 够 支持 独立 的 操作 者 和 
管理 员 。 

B3 称 为 安全 域 。B3 系统 必须 符合 B2 系统 的 所 有 安全 需求 。B3 系统 具有 很 强 的 监视 委 
托管 理 访问 能 力 和 抗 干 扰 能 力 。B3 系统 必须 设 有 安全 管理 员 。B3 系统 应 满足 以 下 要 求 : 除 
了 控制 对 个 别 对 象 的 访问 外 , B3 必须 产生 一 个 可 读 的 安全 列表 ; 每 个 被 命名 的 对 象 提供 对 该 
对 象 没有 访问 权 的 用 户 列表 说 明 ; B3 系统 在 进行 任何 操作 前 ， 要 求 用 户 进 行 身份 验证 ，B3 
系统 验证 每 个 用 户 ， 还 会 发 送 一 个 取消 访问 的 审计 跟踪 消息 ;设计 者 必须 正确 区 分 可 信任 的 
通信 路 径 和 其 他 路 径 ， 可 信任 的 通信 基础 体制 为 每 个 被 命名 的 对 象 建立 安全 审计 跟踪 ; 可 信 
任 的 运算 基础 体制 支持 独立 的 安全 管理 。 

A 类 安全 等 级 : A 系统 的 安全 级 别 最 高 。 目 前 ，A 类 安全 等 级 只 包含 Al 一 个 安全 类 别 ， 
称 为 验证 保护 。Al 类 与 B3 类 相似 ， 对 系统 的 结构 和 策略 不 做 特别 要 求 。Al 系统 的 显著 特 
征 是 ， 系 统 的 设计 者 必须 按 一 个 正式 的 设计 规范 来 分 析 系 统 。 对 系统 分 析 后 ， 设 计 者 必须 运 
用 核对 技术 来 确保 系统 符合 设计 规范 。A1l 系统 必须 满足 下 列 要 求 : 系统 管理 员 必须 从 开发 者 
那里 接收 到 一 个 安全 策略 的 正式 模型 ， 所 有 安装 操作 都 必须 由 系统 管理 员 进 行 ， 系 统管 理 员 
执行 的 每 一 步 安装 操作 都 必须 有 正式 文档 。 

1. TCSEC 的 安全 功能 需 


身份 识别 和 认证 需求 详细 说 明了 系统 是 如 何 标识 用 户 的 身份 ， 以 及 认证 该 用 户 的 身份 。 
同时 还 处 理 认 证 数据 的 粒度 (每 一 组 或 每 一 个 用 户 等 )、 认 证 数据 的 保护 以 及 与 审计 相关 的 身 
份 标识 问题 。 

自主 访问 控制 需求 确定 了 一 种 访问 控制 机 制 , 访问 控制 的 权限 由 访问 对 象 的 拥有 者 来 自 
主 决定 ， 也 可 由 被 授权 控制 对 象 访问 的 人 来 决定 。 拥 有 者 能 够 决定 谁 应 该 拥有 对 其 对 象 的 访 
问 权 及 内 容 。 自 主 访问 控制 的 实现 可 以 基于 主体 或 者 客体 来 进行 。 

强制 访问 控制 需求 在 低 于 Bl 级 的 评估 等 级 中 并 不 要 求 ， 个 人 用 户 不 能 改变 这 种 控制 。 
强制 访问 控制 往往 根据 一 个 具体 的 安全 模型 ， 通 过 预 设 的 规则 来 进行 。 标 记 是 强制 访问 控制 
的 基础 ， 标 记 可 以 与 主体 和 客体 绑 定 在 一 起 的 方式 存在 ， 也 可 以 存放 在 数据 表 中 ， 使 用 时 根 
据 主体 和 客体 的 特征 字段 进行 查找 。 

审计 需求 要 求 系统 中 存在 一 种 审计 机 制 并 保护 审计 数据 。 该 需求 定义 了 审计 记录 必须 包 
含 的 内 容 以 及 审计 机 制 必须 记录 的 事件 。 随 着 评估 级 别 的 提高 ， 审 计 需 求 不 断 扩展 。 

TCSEC 还 提出 其 他 一 些 需求 , 如 客体 重用 需求 和 可 信 路 径 需 求 。 客体 重用 需求 主要 是 为 
了 防止 攻击 者 从 可 重用 客体 中 收集 信息 ， 比 如 从 内 存 和 磁盘 中 获取 信息 。 该 需求 要 求 在 释放 
个 可 重用 客体 时 ， 要 撤消 前 一 个 用 户 对 该 客体 的 访问 权限 ， 并 阻止 新 用 户 读 取 前 一 个 用 户 
留 在 该 客体 中 的 信息 。 可 信 路 径 需求 提供 一 条 保证 在 用 户 和 TCB 之 间 通 信 的 路 径 。 

2. TCSEC 的 安全 保障 需求 


配置 管理 需求 要 求 验 证 所 有 的 配置 项 ， 验 证 所 有 的 文档 和 代码 之 间 的 一 致 性 ， 以 及 验证 
用 于 生成 TCB 的 工具 。 该 需求 只 对 等 于 或 者 高 于 B2 的 评估 等 级 进行 要 求 。 
可 信和 软件 发 布 需求 要 求 保证 软件 原版 和 在 线 版 本 之 间 的 一 致 性 和 完整 性 ， 并 保证 用 户 的 
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接收 过 程 是 安全 的 。 该 需求 只 针对 Al 评估 等 级 。 

系统 体系 结构 需求 要 求 系统 模块 化 、 复 杂 性 最 小 化 等 。 目 标 是 使 TCB 尽 可 能 简短 。 该 
需求 只 对 Cl 和 了 B3 之 间 的 评估 等 级 进行 要 求 。 

设计 规范 和 验证 需求 在 不 同 的 评估 等 级 中 差别 很 大 。 评 估 等 级 C1 和 C2 没有 此 要 求 。 
B1 需要 一 个 非 形式 化 的 、 与 相关 公理 一 致 的 安全 策略 模型 ，B2 需要 一 个 形式 化 的 安全 模型 ， 
该 模型 与 相关 公理 的 一 致 性 必须 是 可 证 明 的 ， 并 且 系 统 具有 一 个 描述 性 的 高 层 规范 
DTLS(Datagram Transport Layer Security); B3 进一步 要 求 说 明 DTLS 和 安全 策略 模型 之 间 的 
一 致 性 。 

测试 需求 要 求 测试 结果 和 目标 一 致 ， 系 统 能 抵御 攻击 并 在 修正 系统 漏洞 后 再 重新 测试 。 
在 高 等 级 评估 中 ， 还 要 求 采 用 形式 化 方法 搜索 通道 。 

产品 文档 需求 在 所 有 的 评估 等 级 中 都 要 求 存在 。 该 需求 分 为 安全 特征 用 户 指南 和 可 信 设 施 
手册 。 安 全 特征 用 户 指南 需求 要 求 描述 保护 机 制 ， 各 种 机 制 之 间 如 何 交 互 ， 以 及 如 何 使 用 这 些 
保护 机 制 ， 可 信 设 施 手册 需求 要 求 描述 产品 安全 运行 的 需求 ， 包 括 生 成 、 启 动 和 其 他 规程 。 

3. TCSEC 的 评估 过 程 


评估 分 为 三 个 阶段 : 申请 、 初 步 技术 审查 PTR、 评 估 。 评估 由 政府 资助 的 评估 单位 进行 。 
如 果 政 府 不 需要 一 个 产品 ， 该 产品 的 评估 申请 将 被 拒绝 。 否 则 进行 下 一 步 PTR: 详细 讨论 评 
估 过 程 、 评 估 进 度 、 开 发 过 程 、 产 品 技术 内 容 和 需求 等 ， 然 后 决定 何 时 派 遗 评估 工作 组 以 及 
具体 的 评估 进度 表 。 这 个 过 程 实际 上 是 为 评估 做 的 准备 工作 。 到 评估 阶段 ， 又 可 以 细 分 为 三 
个 小 阶段 : 设计 分 析 、 测 试 分 析 、 最 终 评论 。 在 每 个 小 阶段 的 评估 结果 都 必须 提交 技术 审查 
委员 会 TRB 进行 审查 ， 只 有 评估 的 结果 得 到 认可 才能 进行 下 一 个 阶段 的 评估 。 


3.5 ”网 络 安全 


计算 机 通过 互联 网 进行 信息 的 交换 ， 这 形成 了 很 多 交互 操作 。 网 络 上 的 用 户 怎样 访问 本 
地 的 系统 ， 本 地 的 系统 用 户 怎样 访问 网 络 以 及 怎样 保护 本 地 的 数据 在 网 络 中 传输 。 因 此 ， 网 
络 安全 不 仅 是 应 用 密码 学 ， 还 包括 网 络 级 访问 控制 和 入 侵 检测 目标 。 

本 节 将 介绍 安全 问题 对 网 络 的 挑战 ， 网 络 安全 对 计算 机 安全 的 影响 和 依赖 。 以 基本 的 
Intemet 安全 协议 了 Psec 和 SSL/TLS 为 例 ， 进 行 网 络 安全 协议 的 设计 。 还 讨论 防火 墙 技术 和 入 
侵 检测 系统 的 原理 和 局 限 等 。 


3.5.1 网 络 威胁 模型 


计算 机 网 络 是 分 布 式 系统 中 节点 之 间 传输 数据 的 通信 基础 设施 。 一 个 节点 上 的 应 用 程序 
将 要 发 送 的 数据 事先 准备 好 ， 用 一 个 电信 号 或 光 信号 序列 传送 出 去 ， 接 收 端 进行 重组 ， 并 发 
给 应 用 程序 。 网 络 协议 必须 找到 一 条 从 发 送 者 到 接收 者 的 路 径 ， 必 须 处 理 数 据 的 丢失 和 损坏 
以 及 失去 的 连接 ， 例 如 施工 人 员 切 断 电话 线 绕 。 成 熟 的 工程 实践 方法 是 逐一 解决 这 些 问 题 ， 
并 使 用 分 层 体系 结构 ， 把 应 用 协议 放 在 项 部 ， 把 有 关 物 理 传输 的 编码 信息 放 到 底部 。 

ISO/OSI 安全 结构 (国际 标准 化 组 织 ，1989) 定 义 安全 服务 (Security Service) 来 阻止 网 络 安 
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全 威胁 。 安 全 服务 由 安全 机 制 (Security Mechanism) 来 执行 ， 提 供 的 这 些 服务 的 机 制 大 部 分 来 
自 密 码 学 。 典 型 的 例子 有 加 密 、 数 字 签名 、 完 整 性 检查 功能 等 。 密 码 保护 有 一 个 特性 ， 当 N 
层 安 全 协议 在 其 下 层 不 安全 的 协议 的 上 面 运行 时 ，N 层 的 安全 协议 不 会 受到 危害 。 对 这 种 特 
性 存在 例外 。 当 你 的 目标 是 匿名 , 而 且 你 采取 了 预防 措施 来 隐藏 在 某 一 层 的 参与 者 的 身份 时 ， 
则 由 较 低层 的 协议 添加 的 一 些 数据 仍 可 能 泄露 关于 消息 的 来 源 和 目的 地 的 信息 。 

并 非 所 有 安全 问题 都 能 用 密码 学 解决 ， 进 一 步 的 防御 是 访问 控制 机 制 (防火 墙 ) 和 入 侵 检 
测 系 统 。 设 计 协 议 对 付 拒绝 服务 攻击 或 限制 这 种 攻击 不 放大 是 网 络 安全 中 的 另 一 个 需要 关注 
的 问题 。 


1. 威胁 模型 


网 络 上 的 攻击 者 可 以 是 被 动 的 或 主动 的 ， 被 动 攻击 者 仅 监听 通信 。 当 攻击 者 仅 监听 通信 
时 ， 我 们 讨论 偷 听 、 搭 线 窃 听 (wiretapping) 或 噢 探 Gsniffing)。 当 攻击 者 无 法 读 取 私 人 消息 时 ， 
通信 量 分 析 可 试图 确定 通信 参数 。 攻 击 者 会 试图 识别 相同 的 源 (链接 ) 或 者 找 出 通信 双方 以 及 
通信 频率 。 在 移动 服务 中 ， 攻 击 者 也 许 还 对 用 户 的 位 置 感 兴趣 。 

主动 攻击 者 也 许 会 修改 消息 、 插 入 新 消息 或 者 毁坏 网 络 管理 信息 ， 如 在 域名 系统 (DNS) 
中 的 名 字 和 下 地 址 。 在 欺骗 攻击 中 伪造 消息 发 送 者 的 地 址 。 在 洪 泛 攻击 中 , 大量 的 消息 被 指 
向 受害 者 。 在 蹲 守 攻击 (Squatting Attack) 中 ,攻击 者 要 求 定位 受害 者 。 主 动 攻击 并 非 比 被 动 攻 
击 更 难 实施 。 事 实 上 ， 伪 造 发 送 人 邮件 比 拦截 别人 的 邮件 更 加 容易 。 

攻击 者 会 试图 了 解 你 的 网 络 内 部 结构 ， 并 使 用 这 种 信息 来 发 动 攻击 。 来 自 于 网 络 管理 
协议 的 信息 安全 非常 敏感 , 因为 这 些 协 议 收集 的 是 有 关节 点 的 负荷 以 及 可 用 性 的 诊断 信息 。 
同时 ， 这 些 协议 需要 高 效 的 使 用 网 络 。 如 果 过 分 保护 这 些 协 议 ， 网 络 提供 的 服务 质量 会 
大 降低 。 

2. 通信 模型 

安全 协议 在 抽象 层 中 描述 。 消 息 直接 在 主角 之 间 传 递 ， 我 们 没有 考虑 这 种 交换 的 精确 
性 。 安 全 协议 的 分 析 常 常 在 这 种 模型 中 进行 。Intemet 用 云 打 形 状 表示 。 信 息 可 被 任何 决定 
要 发 送 或 修改 的 人 发 送 或 修改 。 攻 击 者 可 通过 协议 分 析 在 正常 的 网 络 模型 中 控制 所 有 的 信 
息 流动 。 

这 样 一 个 抽象 模型 并 非 一 个 最 好 的 能 解决 所 有 安全 问题 的 模型 。 在 安全 分 析 中 ， 可 假定 
有 一 个 潜在 真实 对 手 。 我 们 假定 对 手 不 能 控制 整个 网 络 ， 只 能 读 那 些 直 接 发 向 他 的 地 址 的 信 
息 。 但 他 可 以 任意 修改 发 送 者 的 地 址 。 在 设计 协议 时 ， 我 们 可 能 发 现 网 络 中 的 实体 (比如 防火 
墙 或 NAT) 会 妨碍 通信 者 之 间 运 行 他 们 的 协议 ， 需 要 特别 予以 注意 。 

3. TCP 会 话 劫持 


与 客户 机 服务 器 B 创建 一 个 TCP 会 话 ， 客 户 机 A 需要 先 启动 下 面 三 步 握手 协议 。 

1) A->B: SYN, ISSa; 

2) B->A: SYNIACK, ISSb, ACK(SSa); 

3) A->B: ACK，ACKGSSb)。 

SYN 和 ACK 表明 各 自 的 位 已 经 被 设置 好 。ISSa 和 ISSb 是 32 位 序列 号 。 它 们 的 关系 是 
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ACK(SSa)-ISSA+1 和 ACKGSSb)-ISSb+1。 

假设 消息 总 是 发 送 到 指定 的 接收 者 ， 而 且 在 传输 过 程 中 不 能 被 观察 到 。 攻 击 者 只 能 插入 
假 的 源 地 址 和 他 自己 的 消息 。 只 要 序列 号 是 随机 的 ， 这 个 协议 就 是 安全 的 。 攻 击 者 就 需要 猜 
测 发 送 到 另 一 方 的 序列 号 。 因 此 ，RFC 793 指定 每 4 微 秒 让 32 位 的 计数 器 低位 增加 1。 但 
Berkeley 导出 Unix 内 核 每 秒 增加 128， 每 个 新 连接 增加 64。 因 此 ， 就 没有 太 多 的 随机 性 来 混 
消 攻 击 者 。 

早 在 1985 年 就 有 利用 这 种 执行 决策 的 攻击 ， 并 在 1989 年 被 推广 。 攻 击 者 C 先 和 他 的 目 
标 B 开始 一 个 真实 的 连接 ， 同 时 收 到 一 个 序列 号 ISSb。 然 后 ， 攻 击 者 假扮 A 发 送 一 个 在 源 
地 址 填 入 了 A 的 地 址 的 包 : C(A)->B: SYN, ISSc。 

B 回应 : B->A: SYNIACK, ISSb'，ACK(SSc) 到 合法 的 A。C 不 能 看 到 这 条 消息 ， 但 1 
使 用 ISSb 来 预测 当前 ISSb'， 发 送 C(A)->B: ACK，ACK(ISSb)。 

如 果 猜 测 正确 ，B 将 和 A 连接 ， 尽 管 是 C 在 发 包 。C 看 不 到 这 个 会 话 的 输出 ， 但 它 也 许 
可 使 用 A 在 B 上 的 权限 执行 命令 。 这 种 攻击 方法 可 以 在 Unix 环境 下 运行 ， 在 此 环境 下 攻击 
者 可 从 可 信 主 机 A 处 骗取 消息 。 类 似 RSH 使 用 基于 地 址 验证 的 协议 ， 假 设 从 一 个 可 信和 主机 
登录 的 用 户 被 验证 ， 这 样 会 存在 风险 。 

让 防火 墙 封锁 来 自 局 部 来 源 地 址 的 所 有 TCP 包 , 防御 这 种 攻击 。 这 种 方式 只 能 在 所 有 你 
信任 的 主机 都 位 于 一 个 局 域 网 中 时 才 起 作用 。 如 果 还 有 在 Intemet 中 受信 任 的 主机 ， 防 火 墙 
就 不 得 不 阻塞 所 有 使 用 TCP 的 协议 和 基于 地 址 的 认证 。 更 佳 的 解决 方案 是 完全 避 开 基于 地 址 
的 认证 ， 采 用 密码 认证 。 

4. TCP-SYN 洪 泛 攻击 


在 应 答 了 第 一 个 SYN 包 后 ，B 服务 器 会 存储 ISSb 序列 号 ， 来 验证 客户 端 发 的 ACK 攻 
击 。 攻 击 者 在 使 用 TCP SYN 洪 泛 攻击 时 ， 初 始 化 大 量 的 TCP 请 求 (SYN 包 )， 但 并 不 完成 协 
议 的 运行 ， 直 到 B 服务 器 达到 了 它 的 半 开 连接 的 极限 ， 至 应 答 新 的 请 求 限制 为 止 。 将 修改 
TCP 握手 协议 以 便 允许 服务 器 动态 丢弃 保留 的 状态 。 作 为 TCP 会 话 支持 攻击 的 一 部 分 , C 能 
够 发 动 SYN 洪 泛 攻击 A， 因 此 A 不 能 处 理 来 自 B 的 SYN-ACK 包 ， 也 不 能 丢掉 攻击 者 试图 
打开 的 连接 。 


3.5.2 ”网 络 协议 安全 


车 


1. 协议 涉及 原则 


ISO/OSI 结构 的 7 层 模 型 是 分 层 网 络 协议 的 常见 框架 ， 从 底层 至 顶层 分 别 是 物理 层 、 链 
路 层 、 网 络 层 、 传 输 层 、 会 话 层 、 表 示 层 和 应 用 层 。 分 层 模型 为 网 络 安全 的 研究 提供 了 实用 
的 抽象 概念 。 顶 部 的 安全 服务 可 用 来 满足 特定 应 用 的 要 求 。 不 同 的 应 用 都 需要 自身 的 安全 协 
议 。 底 部 的 安全 服务 可 用 来 保护 所 有 的 高 层 通信 ， 减 轻 应 用 层 协议 设计 者 安全 方面 的 设计 。 
然而 ， 一 些 应 用 可 能 发 现 这 些 保 护 措施 不 能 很 好 地 满足 它们 的 要 求 。 

在 分 层 模型 中 ，N 层 的 对 等 实体 (Peer Entity) 使 用 N 层 协 议 。N+1 层 协议 看 到 的 是 在 N 
层 上 的 一 个 虚拟 连接 ， 并 且 不 会 考虑 任何 底层 的 情况 。N 层 协议 建立 在 低层 协议 之 上 。N 层 
协议 的 消息 成 为 N 层 协议 数据 单元 (PDU，ProtocolData Unit)。N 层 协 议 数据 单元 可 能 被 分 段 
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或 者 经 过 其 他 处 理 。 对 结果 增加 头 部 和 尾部 使 其 成 为 N-1 层 协议 数据 单元 (N-D)-PDU)。 这 些 
NN-1 层 协议 数据 单元 的 接收 者 使 用 报头 和 报 尾 中 的 信息 来 重组 N 层 协议 数据 单元 (N)-PDU)。 

有 两 个 重要 的 选择 来 实施 NN 层 协议 调用 的 N-1 层 的 安全 服务 。 较 高 层 的 协议 能 够 察觉 更 
低层 的 安全 协议 ， 或 者 安全 协议 是 透明 的 。 第 一 种 情况 下 ， 高 层 的 协议 不 得 不 改变 它 的 调用 
来 访问 提供 的 安全 设施 。 第 二 种 情况 下 ， 高 层 协议 不 必 改 变 。 在 两 种 情况 下 ，N-1 层 协 议 数 
据 单元 的 帧 头 是 一 个 比较 方便 存储 安全 相关 数据 的 地 方 。 

网 络 协议 栈 有 4 层 ， 从 下 层 至 上 层 依次 是 链接 层 、 互 联 层 、 传 输 层 和 应 用 层 。 应 用 层 的 
协议 有 telnet、fp、http、smtp 或 者 SET(Secure Electronic Transaction) 这 些 协议 。 在 传输 层 有 
TCP(Transmission Control Protocol， 传 输 控制 协议 ) 和 UDP(User Datagram Protocol， 用 户 数据 
报 协议 ) 协 议 。 网 络 层 有 TJ 协议 。TCP 和 UDP 使 用 端口 号 来 标识 协议 数据 单元 所 属 的 主体 。 
常用 的 端口 号 是 21(ftp)、23(telnet)、25(smtp， 发 送 邮 件 )、110(pop3， 接 收 邮 件 )、143(imap， 
接收 邮件 )、80(http)、443(https， 安 全 网 页 ) 和 53(DNS， 名 称 查 找 )。 链 接 层 协议 使 用 特殊 网 
络 技术 。 

TCP 和 了 P 以 及 UDP 和 管理 协议 ICMP 是 网 络 核心 。 最 初 ， 这 些 协议 可 保证 友好 和 合作 
的 用 户 能 通过 可 靠 的 网 络 进行 连接 ， 因 此 完全 不 考虑 安全 性 。 如 今 ，TCP/IP 被 广泛 地 使 用 ， 
并 要 求 更 强大 的 安全 性 。 因 特 网 工程 任务 组 (IETF, Intermet Engineering Task Force) 已 经 对 因 特 
网 安全 协议 和 请 求 注释 RFC, Requests for Comments) 进 行 标准 化 。 IETF 对 大 量 使 用 中 的 安全 
协议 进行 修订 ， 并 发 布 新 的 网 络 安全 协议 。 


2.1P 安全 


人 PP 是 一 个 无 连接 无 状态 的 传输 人 P 包 的 协议 ， 这 些 人 P 包 就 是 网 络 层 的 协议 数据 单元 ， 核 
心 卫 规范 提供 尽力 的 服务 。 卫 是 无 连接 无 状态 的 ， 因 此 每 个 数据 报 被 视 为 一 个 不 依赖 于 其 他 
任何 卫 数据 块 的 独立 实体 。 无 法 保证 包 能 投递 到 目的 地 ， 没 有 机 制 来 维持 包 的 顺序 ， 也 没有 
安全 协议 。IPv4 作为 RFC 791 在 1981 年 发 布 。 之 后 ， 互 联网 不 断 发 展 ， 结 果 卫 协议 不 得 不 
适应 新 要 求 。IPv6 在 RFC1883 中 被 明确 提出 。 当 讨论 下 安全 机 制 的 时 候 ， 将 参考 IPv6。 

卫 的 安全 结构 (Psec) 在 RFC2401 中 有 介绍 。IPsec 在 IPv4 中 是 可 选 的 ， 但 在 IPv6 中 却 是 
强制 要 求 的 。IPsec 包 含 两 个 主要 的 安全 机 制 ， 在 RFC 2402 中 描述 的 人 认证 报头 (AH, Authent 
ication HeadeD 和 在 RFC 2406 中 讲述 的 下 封装 安全 有 效 载荷 (ESP, Encapsulating Security Payload)。 
JP 安全 架构 不 包括 阻止 通信 量 分 析 的 机 制 。 

IP 认证 报头 只 保护 人 P 包 的 完整 性 和 可 靠 性 ， 但 不 保护 机 密 性 。 最 初 是 由 于 政治 原因 推 
荐 使 用 它 。20 世纪 90 年 代 ， 加 密 算 法 的 输出 限制 为 只 认证 机 制 创建 机 会 。 现 在 这 些 输 出 限 
制 基本 上 被 消除 ， 因 而 推荐 只 使 用 ESP 来 简化 IPsec 的 执行 。 

ESP 提供 机 密 性 、 数 据 源 认证 、 数 据 完整 性 以 及 一 些 重 放 保护 。ESP 包 由 以 下 几 个 部 分 
组 成 。 

1) 安全 参数 索引 (SPI，Security Parameters Index) 是 一 个 32 位 的 域 , 唯一 用 于 标识 数据 块 
与 目标 他 地 址 和 安全 协议 的 安全 结合 体 。 

2) 序列 号 是 个 无 符号 32 位 域 ， 包 含 一 个 计数 值 ， 这 个 值 必须 被 发 送 者 计 入 ， 而 由 接收 
者 做 判断 处 理 。 

3) 有 效 载荷 数据 是 一 个 包含 传输 层 PDU 的 可 变 长 度 域 。 
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4) 填充 区 是 一 个 可 选 的 域 , 它 包括 为 加 密 算法 填充 的 数据 ; 数据 的 长 度 被 填充 为 算法 块 
的 整数 倍 长 。 

5) 填充 长 度 。 

下 一 个 报头 是 传输 层 PDU 的 类 型 。 

认证 数据 以 32 位 字 长 为 单位 ， 长 度 可 变 。 包 含 一 个 完整 性 校 验 码 GCV，Integrity Check 
Value)， 由 ESP 包 减 去 认证 数据 (Authentication Date) 计 算得 到 。 

SPI 和 序列 号 构成 了 ESP 的 报头 ， 在 有 效 载荷 后 的 域 是 ESP 的 报 尾 。ESP 可 使 用 两 种 模 
式 。 在 传输 模式 中 ， 上 层 协议 框架 ， 例 如 来 自 TCP 或 者 UDP 的 框架 被 封装 在 ESP 中 。 而 他 


报头 并 未 加 密 。 传 输 模式 为 两 个 终端 主机 间 交 换 的 包 提 供 端 到 端的 保护 。 当 然 ， 两 个 节点 都 
必须 支持 IPsec。 


在 隧道 模式 (tunnel mode) 中 , 完整 的 他 数据 报 与 安全 域 一 起 被 视 为 外 部 卫 数据 报 的 新 的 
有 效 载荷 。 原 始 内 部 卫 被 封装 到 外 部 中 数据 报 ,， 卫 隧道 因此 可 以 描述 为 下 中 的 全 。 隧 道 模 
式 可 用 在 IPsec 已 在 终端 主机 的 网 关上 实现 的 情况 下 。 终 端 主机 不 需要 支持 IPsec。 网 关 可 以 
是 一 个 边界 防火 墙 或 路 由 器 。 这 种 模式 提供 网 关 到 网 关 的 安全 ， 而 非 端 到 端的 安全 。 另 一 方 
面 ， 我 们 使 通信 流 保持 了 机 密 性 ， 使 得 中 间 路 由 对 于 他 数据 报 不 可 见 ， 并 且 原 始 来 源 和 目标 
地 址 被 隐藏 。 

通常 ,破解 或 验证 一 个 ESP 包 的 系统 必须 知道 使 用 的 算法 和 密 钥 以 及 初始 化 矢量 。 这 种 
信息 都 存储 在 一 个 安全 关联 (SA，Security Association) 中 。 安 全 关联 通常 是 在 两 个 通信 主机 之 
间 建 立 的 单项 逻辑 连接 ， 定 义 了 双方 如 何 使 用 安全 服务 进行 通信 。 两 台 主机 之 间 的 双向 通信 
需要 两 个 安全 关联 ， 每 一 个 SA 保护 一 个 方向 的 数据 。 因 此 ， 通 常 成 对 创建 安全 关联 。 

一 个 安全 关联 是 由 SPI(AH 和 ESP 报头 携带 )、IP 目的 地 址 以 及 安全 协议 (AH 或 ESP) 标 
识 符 唯 一 定义 。 它 还 包含 像 算 法 标识 、 密 钥 、 密 钥 时 限 和 可 能 的 IV 等 相关 联 的 密码 数据 。 
还 有 一 个 序列 号 计数 器 和 一 个 反应 答 窗口 。SA 也 表明 是 工作 在 隧道 模式 还 是 传输 模式 。 活 动 
SA 表 保 存在 SA 数据 库 (SAD) 中 。SA 还 能 够 合并 起 来 ， 例 如 ，IPsec 隧道 的 多 层次 嵌 套 。 每 
个 隧道 可 在 不 同 路 由 的 IPsec 网 关 开始 和 结束 。 

如 果 节点 数目 很 小 , 而 且 没 有 增加 到 适当 的 支持 人 P 安全 协议 的 主机 网 络 数量 , 就 可 以 手 
工 创建 SA。 手动 加 密 的 备 选 方案 之 一 就 是 因特网 密 钥 交换 协议 。 正 Ev2 是 一 个 正在 制定 中 的 
互联 网 密 钥 交换 协议 。 它 的 安全 目标 就 是 实体 认证 和 建立 新 的 可 以 共享 的 密 钥 。 使 用 共享 密 
钥 来 获得 进一步 的 密 钥 。 其 安全 目标 还 包括 所 有 密码 算法 的 安全 协商 ， 例 如 ， 认 证 方法 、 密 
钥 交换 方法 、 解 密 算 法 和 哈 希 算法 。 一 种 Cookie 机 制 (不 要 和 http 的 cookie 混淆 ) 用 来 提高 对 
拒绝 服务 攻击 的 抵抗 能 力 。 可 通过 选项 将 保密 性 设置 为 不 完全 安全 或 绝对 安全 。 

IPsec 提供 很 多 选项 和 参数 来 灵活 地 创建 密 钥 。 卫 安全 协议 需要 大 量 的 对 称 密 钥 。 每 个 
SA 都 有 一 个 密 钥 。IKE 在 两 个 阶段 中 起 作用 。 阶段 一 , 设置 一 个 安全 通道 来 传输 下 一 阶段 的 
SA 系统 ， 以 及 错误 信息 和 传输 通信 量 。 这 个 阶段 包含 可 靠 的 实体 鉴别 和 密 钥 交换 。 第 一 阶段 
的 协议 有 两 种 变 体 。 一 种 是 耗 时 长 但 更 安全 的 主 模式 ， 一 种 是 更 快 的 质询 模式 。 主 模式 和 质 
询 模式 都 由 多 种 认证 机 制 构成 。 基 于 签名 和 共享 (对 称 ) 密 钥 的 认证 已 在 实际 中 部 署 。 阶 段 二 ， 
通常 使 用 的 SA 开始 通信 。 通 过 第 一 阶段 建立 的 安全 通道 快速 通信 。 第 一 阶段 允许 运行 许多 
第 二 阶段 。 

JPsec 的 安全 服务 不 与 任何 特殊 的 密 钥 管理 协议 相关 。 如 果 发 现 一 种 密 钥 管理 协议 有 缺陷 ， 
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这 个 协议 可 以 替换 为 其 他 协议 而 不 会 影响 耳 安全 协议 的 工具 。 

IPsec 策略 决定 了 卫 数据 报 的 安全 处 理 。 支 持 了 Psec 的 主机 有 一 个 安全 策略 数据 库 (SPD， 
Security Policy Database)。SPD 会 查看 每 个 输入 输出 的 数据 报 。 在 下 数据 报 中 的 这 个 域 和 
SPD 条 目的 域 匹配 。 匹 配 基于 源 和 目的 地 址 (范围 地 址 )、 传 输 层 协议 、 端 口号 等 。 一 个 匹 
配 识别 一 个 或 者 一 组 SA( 或 者 更 新 的 SA)。 管 理 和 实施 IPsec 策略 较为 复杂 ， 是 网 络 协议 的 
研究 热点 。 

3. 安全 套 接 层 和 传输 层 安全 协议 

TCP 协议 提供 两 个 节点 之 间 可 靠 字 节 流通 信 。TCP 是 一 种 有 状态 的 面向 连接 的 协议 , 它 
检测 丢 包 时 间 和 包 的 到 达 次 序 颠 倒 时 间 ， 并 丢弃 重复 的 数据 。TCP 在 建立 两 个 节点 间 的 会 话 
时 ， 可 实现 基于 地 址 的 实体 认证 。 但 它 选 择 了 一 种 很 容易 受到 攻击 的 执行 方式 。TCP 缺乏 强 
有 力 的 密码 实体 认证 ,数据 完整 性 和 机 密 性 ,这 些 服 务 是 在 SSL 协议 中 引入 的 。 它 最 初 由 NetScape 
公司 开发 ， 主 要 保护 WWW 通信 安全 。RPC 2246 关于 传输 层 安 全 协议 (TLS，Transport Layer 
Security Protocol) 基 本 上 与 SSL 的 第 三 个 版 本 一 样 。 于 是 ， 这 个 协议 就 变 成 了 众所周知 的 
SSL/TLS。RFC 3268 为 TLS 定义 了 基于 AES 的 加 密 算 法 。 

在 四 协议 栈 中 ，SSL 位 于 应 用 层 协 议和 TCP 协议 之 间 。 因 此 ，SSL 能 够 依赖 有 TCP 保 
证 的 属性 ， 例 如 它 自己 就 不 必 关 心 数 据 的 可 靠 传递 。 像 TCP 一 样 ，SSL 也 是 有 状态 的 和 面向 
连接 的 。SSL 会 话 状 态 包括 执行 密码 算法 所 要 求 的 信息 ， 例 如 会 话 标识 符 、 密 码 程序 组 的 说 
明 、 共享 的 密 钥 、 证 书 、 协议 使 用 的 随机 数 等 。 为 减少 由 密 钥 管理 引起 的 系统 开销 , 一 个 SSL 
会 话 可 以 包括 多 个 连接 。 有 特色 的 实例 是 客户 和 服务 器 之 间 的 http 1.0 会 话 , 其 中 为 传输 复合 
文档 的 每 一 个 部 分 都 要 建立 一 个 新 连接 。 对 于 每 个 连接 ， 仅 仅 是 状态 信息 的 一 个 子 集 发 生变 化 。 

SSL 由 SSL 记录 层 (Record LayeD 和 SSL 握手 层 (Handshake Layer) 两 部 分 组 成 。 SSL 记录 
层 从 上 层 协议 获得 数据 块 ， 然 后 应 用 在 现行 会 话 状 态 中 的 密码 说 明定 义 的 密码 变换 。 从 本 质 

上 讲 ，SSL 记录 层 提供 一 种 类 似 于 IPsec 的 服务 ，IPsec 安全 关联 和 SSL 状态 相似 。SSL 握手 
协议 建立 会 话 状态 的 密码 参数 。 

SSL/TLS 包含 一 个 握手 协议 ， 客 户 端 和 服务 器 利用 它 来 商定 密码 组 ,确立 必需 的 加 密 资 
料 ， 进 行 相互 认证 。 目 前 SSL 是 使 用 最 广泛 的 因特网 安全 协议 ， 所 有 的 主流 网 页 浏览 器 都 支 
持 。SSL 在 应 用 协议 和 TCP 之 间 加 上 了 一 个 安全 层 ， 因 此 应 用 程序 必须 明确 地 要 求 安 全 ， 应 
用 程序 代码 必须 进行 改变 。 

客户 端 和 服务 器 必须 保护 它们 创建 的 安全 内 容 参数 (或 IPsec SA)。 和 否则 , 用 SSL 或 IPsec 
提供 的 安全 将 受到 威胁 。 密 码 保护 不 会 受到 来 自 通信 网 络 下 方 层 的 威胁 ， 它 很 可 能 受到 来 自 
网 络 节点 操作 系统 的 下 层 的 威胁 。 


4. 域名 系统 DNS 


应 用 程序 通过 DNS(Domain Name System) 解 析 域名 和 了 P 地 址 的 映射 关系 。 为 了 通信 , 我 
们 需要 符合 DNS 名 字 的 下 地址 。 这 种 信息 由 DNS 名 称 服务 器 维护 。DNS 查询 出 DNS 名 称 
对 应 的 外 地址 。 反响 检查 就 是 提供 四 地址 对 应 的 DNS 名 称 。 攻击 者 会 损坏 这 些 信息 来 使 用 
户 错误 地 连接 到 伪造 的 地 址 ， 还 使 一 些 地 址 不 能 使 用 ， 甚 至 造成 更 严重 的 破坏 。 如 果 其 他 服 
务 器 用 这 些 损坏 的 结构 来 升级 它们 的 缓存 ， 会 发 生 错误 。 
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原始 的 DNS 查询 协议 使 用 了 一 种 非常 简单 的 方法 来 阻止 欺骗 。 安 全 的 DNS 服务 正在 不 
断 部 署 。 


3.5.3 ”防火 墙 技术 


密码 机 制 用 于 保护 传输 数据 的 机 密 性 和 完整 性 ， 认 证 协议 验证 数据 的 来 源 。 如 果 要 控制 
允许 哪些 通信 进入 系统 (进入 过 滤 )， 或 者 传 出 系统 (外 出 过 滤 )， 可 通过 部 署 防火 墙 来 实现 。 

防火 墙 是 一 种 控制 网 络 双方 之 间 的 传输 流 的 网 络 安全 设备 。 防 火 墙 通常 安装 在 整个 组 织 
内 部 网 与 因特网 之 间 。 它 们 也 常安 装 在 内 部 网 内 来 保护 单个 部 门 。 例 如 ， 一 个 公司 可 能 会 在 
它 的 某 部 门 的 子 网 和 公司 主 网 之 间 安 装 防火 墙 。 

防火 墙 应 该 可 以 控制 网 络 传输 和 保护 网 络 。 所 有 传输 只 有 通过 防火 墙 ， 才 能 进行 有 效 的 
保护 。 拨 号 线 和 无 线 局 域 网 是 防火 墙 不 能 保护 的 入 口 点 。 防 火 墙 可 以 同意 或 阻止 访问 服务 ， 
在 同意 访问 前 验证 用 户 或 机 器 ， 以 及 监视 进出 网 络 的 传输 。 防 火 墙 在 20 世纪 90 年 代 早期 开 
始 流行 。 这 时 ， 很 多 终端 不 能 保护 自己 的 PC 机 。 它 强制 将 安全 中 心 转 移 到 网 络 边界 。 

防火 墙 用 于 保护 系统 ， 使 外 部 网 络 中 的 第 三 方 不 能 访问 那些 只 能 在 内 部 网 中 可 以 得 到 的 
信息 。 它 们 也 能 限制 从 内 网 到 外 网 服务 的 访问 ， 这 些 服务 对 组 织 的 工作 来 说 是 危险 的 或 者 不 
是 必需 的 。 防 火 墙 可 以 决定 通过 虚拟 专用 网 (VPN, Virtual Private Network) 路 由 敏感 的 通信 。 
VPN 创建 一 个 在 组 织 子 网 没有 直接 连接 的 网 关 之 间 的 安全 连接 。 所 有 在 两 个 子 网 之 间 的 传输 
都 必须 通过 那些 增加 了 安全 措施 的 密码 保护 的 网 关 。 防火 墙 也 能 作为 网 络 地 址 翻译 器 NAT)， 
在 公共 下地 址 后 面 用 私有 地 址 隐藏 内 部 机 器 ， 并 为 内 部 服务 器 将 公共 地 址 转换 为 私有 地 址 。 

在 每 个 网 络 层 ， 我 们 都 能 找到 用 来 控制 访问 的 参数 。 在 OSI 的 第 3 层 ， 我 们 有 源 瑟 地 
址 和 目的 地 下 地 址 , 在 OSI 的 第 4 层 有 TCP 和 UDP 的 端口 号 。 许多 防火 墙 假设 端口 号 决定 
服务 ， 但 这 并 不 一 定 正确 。 在 OSI 的 第 7 层 ， 有 很 多 与 应 用 程序 关联 的 信息 : 邮件 地 址 、 邮 
件 内 容 、 网 页 要 求 、 可 执行 文件 、 病 毒 和 蠕虫 、 图 片 、 用 户 名 和 密码 等 。 而 这 只 是 其 中 的 一 
小 部 分 。 通常, 网 络 边界 的 机 器 可 用 来 控制 对 网 络 的 访问 , 对 离开 网 络 的 数据 流 加 密码 保护 ， 
或 者 隐藏 网 络 的 结构 。 

1. 包 过 滤 


包 过 滤 在 OSI 的 第 3 和 第 4 层 工 作 。 这 个 规则 具体 指明 哪些 包 允 许 通 过 防火 墙 ， 哪些 应 
该 阻止 ， 该 规则 应 用 到 每 个 包 。 典 型 的 规则 详细 说 明了 源 中 地 址 和 目标 下 地址， 以 及 TCP 
和 UDP 的 源 /目标 端口 号 。 也 可 以 定义 双向 通信 规则 。 这 样 的 防火 墙 可 以 用 TCP/IP 包 过 滤 发 
送 程序 来 检查 每 个 包 的 报头 来 实现 通过 或 者 阻止 包 。 

简单 的 规则 可 以 被 强制 使 用 ， 普 通 的 协议 很 难 对 其 进行 处 理 。 例 如 ， 当 客户 端 将 他 请 
求 发 送 到 ftp 服务 器 时 ， 防 火 墙 不 能 为 了 某 个 请 求 连接 的 数据 包 对 服务 器 进行 连接 。 我 们 拥 
有 针对 来 自 端口 20 的 所 有 包 的 通用 规则 ， 或 者 源 自 特定 人 P 地 址 的 所 有 端口 20 的 包 的 规则 ， 
但 我 们 不 能 动态 地 定义 规则 。 


2. 状态 包 过 滤器 


状态 包 过 滤器 能 够 明白 请 求 并 做 出 回复 。 例 如 ， 它 们 知道 关于 TCP 开放 序列 的 (SYN, 
SYN-ACK, ACK) 模 式 。 规 则 通常 只 针对 一 个 方向 上 的 第 一 个 包 。 在 第 一 个 包 出 去 之 后 创建 状 
态 。 通 信 中 后 续 的 包 就 可 以 自动 处 理 了 。 状 态 防 火 墙 支持 大 量 协议 的 过 滤 规 则 ， 而 不 仅 是 简 
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单 的 包 过 滤 ， 例 如 fip、 耻 C 或 者 H323。 
3. 电路 级 代理 


电路 级 代理 有 与 包 过 滤 差 不 多 的 规则 ， 但 是 并 不 路 由 所 有 的 包 。 规 则 决定 了 允许 哪些 连 
接 ， 封 锁 哪些 连接 。 允 许 的 连接 会 在 防火 墙 和 目标 之 间 创 建 一 个 新 连接 。 这 种 防火 墙 在 这 里 
提 及 ， 是 由 于 它 很 少 在 实际 中 使 用 。 它 的 函数 性 和 状态 包 过 滤器 差不多 ， 但 效能 更 低 。 


4. 应 用 层 代理 


防火 墙 可 以 监控 每 个 应 用 层 协议 ， 代 理 执 行 防火 墙 上 协议 的 服务 和 客户 部 分 。 当 一 个 客 
户 端 连接 到 防火 墙 时 ， 防 火 墙 的 代理 就 像 服务 器 一 样 使 请 求生 效 。 代 理 是 另 一 个 受 控 调 用 的 
例子 。 

例如 ， 一 个 邮件 代理 可 以 过 滤 掉 病毒 、 蠕 虫 和 垃圾 。 如 果 人 允许 客户 端的 请 求 ， 代 理 就 作 
为 客户 端 ， 连 接 到 目标 服务 器 。 通 过 防火 墙 的 回应 也 由 代理 处 理 和 检查 。 代 理 服务 器 仅 是 外 
部 看 见 的 结构 。 它 在 传输 中 使 用 排除 过 滤 的 方法 ， 例 如 ， 去 掉 邮 件 的 附件 。 

应 用 层 的 代理 通常 在 固化 PC 上 运行 。 应 用 程序 代理 可 在 进 或 者 出 的 通信 量 中 提供 关闭 
控制 。 在 这 个 方面 ， 应 用 层 代 理 提 供 了 高 的 安全 级 别 ， 它 所 提供 的 配置 比较 合适 。 在 底 侧 ， 
有 大 量 对 每 个 连接 的 处 理 ， 配 置 也 更 困难 。 在 这 方面 ， 应 用 层 代理 没 这 么 安全 ， 防 火 墙 安全 
方面 的 漏洞 已 经 出 现 。 相 对 于 包 过 滤器 来 说 ， 它 的 性 能 更 差 ， 而 花费 更 高 。 此 外 ， 你 需要 为 
每 个 希望 保护 的 服务 准备 一 个 代理 服务 器 。 

包 过 滤器 的 行为 可 比 作 通 过 电话 号 码 挂 断 电 话 。 它 们 对 特定 的 号 码 锁定 呼叫 。 例 如 ， 收 
费 号 码 。 而 应 用 层 代理 就 像 通 过 监听 谈话 的 电话 监听 器 。 


5. 防火 墙 策略 


宽松 的 策略 允许 所 有 通信 ， 但 是 封锁 一 些 比较 危险 的 服务 如 telnet 或 snmp， 或 者 封锁 通 
常用 来 攻击 的 端口 号 。 这 非常 容易 犯错 。 如 果 你 忘记 封锁 一 些 必要 的 资源 ， 这 些 资源 很 容易 
被 非法 利用 。 限 制 性 的 策略 封锁 所 有 的 通信 ， 而 仅 开 放 需 要 使 用 的 东西 ， 如 http、pop3、smtp 
或 SSH， 这 是 一 种 更 安全 的 做 法 。 如 果 你 封锁 了 一 些 需要 的 资源 ， 会 产生 不 利 影响 ， 然 后 你 
就 可 以 允许 这 些 协议 。 策 略 通常 被 看 成 有 肯定 和 和 否定 表 项 的 访问 控制 列表 。 和 典型 的 防火 墙 规 
则 集 : 允许 从 内 部 网 络 到 互联 网 : http、ftp、SSH、DNS; 允许 从 任何 地 方 到 邮件 服务 器 : smtp; 
允许 从 邮件 服务 器 到 互联 网 : smtp、DNS; 允许 从 内 部 到 邮件 服务 器 : smtp、pop3; 允许 划 
应 包 ; 封锁 其 他 所 有 资源 ;在 实际 中 部 署 防火 墙 ， 定 义 和 管 理 规则 集 是 关键 问题 。 


6. 边界 网 络 


邮件 服务 器 需要 进行 外 部 访问 来 从 外 部 接收 邮件 。 因 此 它 应 该 位 于 防火 墙 内 部 。 仅 防 
火 墙 能 保护 邮件 服务 器 从 外 部 访问 的 权限 。 邮 件 服务 器 也 需要 内 部 权限 来 从 因特网 收 邮 件 。 
因此 它 应 该 在 防火 墙 内 部 。 如 果 试 图 阻止 蠕虫 和 病毒 在 网 络 上 传播 ， 或 阻止 机 密 文 档 泄露 ， 
作为 一 种 解决 方案 ， 你 可 以 创建 一 个 边界 网 络 ， 也 被 称 作 非 警戒 区 IDMZ，Demilitarized 
Zone)。 可 用 在 有 服务 需要 从 防火 墙 的 内 部 和 外 部 都 访问 的 情况 。 除 邮件 服务 器 外 ，Web 服 
务 器 和 名 称 服务 器 也 需要 同样 的 配置 。 
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7. 局 限 性 和 问题 


防火 墙 不 能 保护 内 部 不 受 威胁 。 封锁 服务 可 能 会 造成 用 户 的 不 便 , 网 络 诊断 将 比较 困难 ， 
很 难 支持 某 些 协议 。 包 过 滤 防 火 墙 不 能 提供 任何 基于 内 容 的 过 滤 。 如 果 邮 件 是 被 允许 的 ， 那 
么 包含 病毒 的 邮件 也 会 被 允许 通过 。 甚 至 应 用 层 代理 防火 墙 也 不 能 完全 地 检查 内 容 。 防 火 墙 
不 知道 操作 系统 和 应 用 程序 的 漏洞 。 目 前 大 量 服务 使 用 http 的 80 端口 。 因 此 ， 判 断 通 过 这 
个 端口 的 通信 是 否 是 合法 非常 困难 。 

协议 隧道 ， 即 通过 另 一 种 协议 发 送 这 种 协议 的 数据 ， 将 使 防火 墙 失效 。 由 于 越 来 越 多 说 
慎 的 管理 员 必须 开启 80 端口 外 ， 关 闭 其 他 几乎 所 有 的 端口 ， 越 来 越 多 的 协议 也 通过 http 隧 
道 来 穿 过 防火 墙 。 另 一 个 可 选用 的 隧道 是 SSH 协议 。 

不 能 检查 和 过 滤 加 密 通 信 ， 因 此 很 多 协议 ( 像 htps 和 SSH) 都 提供 端 到 端的 密码 保护 ， 这 
样 就 不 能 被 防火 墙 监视 。 另 一 种 方法 是 在 防火 墙 中 为 此 类 协议 使 用 代理 。 但 这 样 就 会 丧失 端 
到 端的 安全 性 。 这 些 发 展 导致 有 人 宣布 防火 墙 将 不 能 作为 安全 结构 的 部 件 ， 安 全 服务 将 从 网 
络 转 回 到 终端 主机 。 个 人 防火 墙 正在 使 网 络 通信 上 的 访问 控制 转移 到 终端 系统 。 


3.5.4 入侵 检测 


密码 学 机 制 和 协议 是 预防 攻击 的 领域 。 虽 然 它们 可 很 好 地 防御 攻击 ， 但 在 现实 中 ， 这 些 
攻击 也 不 易 实现 。 新 型 的 攻击 方式 已 经 出 现 ， 如 拒绝 服务 攻击 。 防 火 墙 这 样 的 边界 网 络 安全 
设备 主要 用 来 阻止 来 自 外 部 网 络 的 攻击 ， 但 它们 有 时 做 不 到 。 防 火 墙 可 能 会 出 现 配置 错误 ， 
密码 可 能 被 窃取 ， 新 的 攻击 类 型 也 可 能 出 现 。 而 且 ， 这 些 设 备 不 能 检测 攻击 发 生 的 时 间 。 因 
此 ， 为 了 检测 网 络 攻击 ， 可 以 配置 入 侵 检测 系统 (IDS，Intrusion Detection System)。 

入 侵 检测 的 作用 是 对 网 络 进行 监测 ， 从 而 提供 对 各 种 威胁 的 实时 保护 。 入 侵 检测 系统 在 
发 现 入 侵 后 ， 将 采取 切断 网 络 连接 、 记 录 事 件 和 报警 等 措施 。 入 侵 检测 的 主要 功能 有 : 

e 监测 和 分 析 用 户 和 系统 的 活动 ; 
审计 系统 配置 和 漏洞 ; 
评估 系统 资源 和 数据 的 完整 性 ; 
识别 攻击 行为 并 报警 ; 
统计 分 析 异 常 行为 ; 

对 系统 安全 的 审计 管理 ， 识 别 违反 安全 策略 的 用 户 活动 。 

一 个 IDS 由 一 系列 收集 信息 的 传感器 组 成 ， 这 些 传感器 可 存在 于 主机 也 可 存在 于 网 络 。 
这 种 传感器 网 络 由 一 个 中 央 控 制 台 管理 。 分 析 数 据 、 入 侵 报告 、 触 发 反应 都 由 中 央 控制 台 管 
理 。 入 侵 检测 有 两 种 途径 : 误 用 检测 (misuse detection) 和 异常 检测 (anomaly detection)。 传 感 器 
和 控制 台 的 通信 ， 特 征 数据 库 和 产生 的 日 志 都 应 该 被 保护 。 而 且 IDS 厂家 应 该 提供 更 新 特征 
库 的 安全 方案 。 否则，IDS 自身 可 能 受到 攻击 和 操纵 。 已 经 有 很 多 利用 IDS 本 身 的 漏洞 进行 
攻击 的 案例 。 

1. 漏洞 评估 

漏洞 评估 用 于 评价 一 个 网 络 的 安全 状态 。 收 集 开 放 的 端口 、 运 行 的 软件 包 、 网 络 拓扑 结 
构 等 信息 ， 就 可 以 得 到 一 个 不 同安 全 级 别 的 漏洞 列表 。 漏 洞 评估 正如 它 所 基于 的 技术 一 样 ， 
必须 时 常 更 新 才能 处 理 新 威胁 。 有 关 安 全 组 织 跟 踪 安 全 漏洞 ， 并 列 出 可 用 补丁 。 计 算 机 紧急 
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事故 响应 小 组 (CERT，Computer Emergency Response Team) 就 提供 了 很 好 的 相关 资源 ， 例 如 
CMU(http://www.cert.org) ，SANS(http://www.sans.org) 和 保存 了 漏洞 档案 的 “安全 焦点 ” 
(http://www.securityfocus.com)， 还 有 主要 的 软件 和 硬件 制造 三 家 的 网 络 站 点 。 


2. 误 用 检测 


误 用 检测 (misuse detection) 用 于 寻找 攻击 特征 。 攻 击 特征 可 以 是 网 络 通信 中 的 式样 ， 
也 可 以 是 日 志文 件 中 用 于 表明 可 疑 行为 的 活动 。 这 些 特征 包括 在 一 台 敏 感 主机 上 登录 失 
败 的 次 数 ，IP 数据 包 可 以 表明 一 次 缓冲 溢出 攻击 的 一 些 位 ,或 者 表明 一 次 SYN 洪 泛 攻击 
的 某 种 类 型 的 TCP SYN 包 。 入 侵 检测 系统 需要 考虑 安全 策略 ， 以 及 已 知 的 漏洞 和 记录 攻 
击 的 数据 库 。 

再 者 ， 这 些 系统 的 安全 性 与 数据 库 中 的 攻击 特征 库 联系 在 一 起 。 新 的 漏洞 经 常 被 发 现 和 
利用 ，IDS 厂家 必须 跟 上 最 新 的 攻击 和 数据 库 的 更 新 ， 用 户 需 要 安装 更 新 。 数 据 库 已 知 的 漏 
洞 和 发 掘 方法 变 得 大 而 无 用 ， 而 且 减 组 了 入 侵 检测 系统 的 运行 。 


1) 异常 检测 

统计 的 异常 检测 (或 者 称 基 于 行为 的 检测 ) 利 用 统计 学 技术 检测 可 能 存在 的 入 侵 。 首 先 
把 正常 的 行为 作为 基线 。 在 整个 操作 过 程 中 ， 将 统计 分 析 被 监视 的 数据 和 估量 背离 基线 的 行 
为 。 如 果 超出 阔 值 ， 就 发 出 警报 。 这 种 入 侵 检测 系统 不 需要 知道 所 监视 特定 系统 的 漏洞 。 基 
线 定义 常态 。 因 此 ， 即 使 没有 更 新 依赖 的 技术 ， 也 可 以 监测 到 新 的 攻击 方式 。 

另 一 方面 异常 检测 只 检测 异常 行为 。 可 疑 行为 不 一 定 会 形成 一 次 入 侵 。 在 一 台 敏 感 主 
机 上 的 多 次 试图 登录 失败 可 能 是 由 于 一 次 入 侵 ， 也 可 能 是 管理 员 忘记 密码 。 攻 击 也 不 一 定 会 
产生 异常 。 有 些 攻击 者 可 避 开 IDS 监视 ， 不 被 检测 到 。 特 别 是 当 基线 被 设置 为 动态 和 自动 调 
整 时 ， 这 种 情况 就 会 发 生 。 攻 击 者 可 逐步 躲 过 那个 时 间 ， 直 到 他 计划 的 攻击 不 再 产生 任何 敬 
报 。 因此, 我们 必须 关心 假 阳性 ( 假 移 报 ) 和 候 明 性 (由 于 攻击 行为 在 正常 行为 定义 的 界限 之 内 ， 
导致 攻击 无 法 检测 到 )。 


2) 基于 网 络 的 入 侵 检测 系统 

基于 网 络 的 IDS(NIDS) 会 在 网 络 通信 中 查找 攻击 特征 。 一 个 网 络 适配器 以 混杂 模式 运 
行 ， 实 时 分 析 所 有 经 过 网 络 的 通信 。 攻 击 识别 模块 把 网 络 数 据 包 作为 数据 源 。 有 三 种 常用 
的 技术 识别 网 络 攻击 特征 : 式样、 表达 式 或 字 节 码 匹 配 ， 通 过 频率 或 闵 值 (例如 ， 检 测 端 
扫描 活动 )， 以 及 与 次 要 事件 的 相互 联系 (在 商业 产品 中 不 多 )。Snort 是 一 种 在 开源 社区 中 研 
发 的 一 种 流行 NIDS。 

3. 基于 主机 的 入 侵 检测 系统 


基于 主机 的 DS(HIDS) 从 主机 的 日 志文 件 中 查找 攻击 特征 。 它 也 可 以 验证 关键 系统 文件 
的 校 验 和 以 及 在 规则 间隔 时 间 的 可 执行 性 。 一些 产 品 可 用 正则 表达 式 推 项 攻击 特征 (例如 密码 
程序 的 执行 和 主机 文件 的 改变 ), 一 些 IDS 监听 端口 的 活动 , 当 特 殊 的 端口 被 访问 时 产生 警报 ， 
提供 有 限 的 基于 网 络 的 IDS 能 力 。 现 在 有 一 种 转向 基于 主机 的 入 侵 检 测 系统 趋势 。 而 最 有 效 
的 入 侵 检测 方法 是 结合 NIDS 和 HIDS。 
于 IDS 警报 已 接近 实时 性 , 所 以 IDS 可 用 作 一 个 实时 响应 工具 , 但 自动 响应 也 不 可 如 
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免 危 险 。 一 个 攻击 者 可 能 欺骗 IDS 响应 ， 但 该 响应 却 指向 无 境 的 目标 (使 用 假 的 源 他 地 址 )。 
由 于 IDS 主动 的 误 报 ， 用 户 会 被 强迫 退出 账户 。 对 管理 员 的 Email 账户 重复 发 送 邮件 通知 会 
变 成 拒绝 服务 攻击 。 

4. 密 色 


蜜 缸 (honeypob 是 用 于 跟踪 攻击 者 和 研究 、 收 集 黑客 活动 证 据 的 一 种 资源 。 它 们 模仿 真实 
的 系统 ， 其 实 不 包含 真正 的 产品 信息 。 每 个 被 监视 到 的 在 密 缸 上 的 活动 都 是 一 次 攻击 。 

蜜 护 可 在 不 同 层次 上 用 于 与 攻击 者 的 交互 中 。 低 层次 交互 的 蜜 钠 模 仿 操 作 系 统 基本 的 服 
务 。 在 这 种 密 缸 之 上 攻击 者 能 做 的 事 很 少 ， 蜜 饶 所 记录 的 攻击 性 行为 就 很 有 限 。 而 且 ， 攻 击 者 
可 能 会 很 快 地 识别 蜜 缸 的 真相 ,然后 逃走 。 现 在 也 有 很 多 检测 蜜 缸 的 工具 。 蜜 饶 模 仿 得 越 逼真 ， 
更 多 的 行为 就 会 被 监视 到 。 高 层次 交互 的 蜜 炙 提 供 真实 的 服务 ， 但 提供 假 的 数据 。 攻 击 者 与 密 
铅 交 互 得 越 多 ， 危 险 越 大 ， 因 为 攻击 者 会 错误 地 把 蜜 钢 当 作 台 阶 去 攻击 其 他 机 器 。 


3.5.5 ”安全 扫描 


安全 扫描 技术 是 一 类 重要 的 网 络 安全 技术 ， 安 全 扫描 技术 与 防火 墙 、 入 侵 检 测 系统 互相 
配合 ， 能 有 效 提高 网 络 的 安全 性 。 安 全 扫描 技术 的 基本 原理 是 采用 模拟 黑客 攻击 的 方式 对 目 
标 可 能 存在 的 已 知 安全 漏洞 进行 逐 项 检测 ， 以 便 对 工作 站 、 服 务 器 、 交 换 机 、 数 据 库 等 各 种 
对 象 进行 安全 漏洞 检测 。 安 全 扫描 技术 主要 分 为 两 类 :主机 安全 扫描 技术 和 网 络 安全 扫描 技 
术 。 主 机 安全 扫描 技术 主要 针对 系统 中 不 合适 的 设置 和 脆弱 的 口令 ， 以 及 针对 其 他 与 安全 规 
则 抵触 的 对 象 进行 检查 等 ， 主 机 扫描 的 目的 是 确定 在 目标 网 络 上 的 主机 是 否 可 达 ， 网 络 安全 
扫描 技术 则 是 通过 执行 一 些 脚本 文件 模拟 对 系统 进行 攻击 的 行为 并 记录 系统 的 反应 ， 从 而 发 
现 其 中 的 漏洞 。 端 口 扫描 技术 和 漏洞 扫描 技术 是 网 络 安全 扫描 技术 中 的 两 种 核心 技术 ， 并 且 
广泛 运用 于 当前 较 成 熟 的 网 络 扫描 器 中 。 

通过 安全 扫描 ， 系 统管 理 员 能 够 发 现 所 维护 的 Web 服务 器 的 各 种 TCP/IP 端口 的 分 配 、 
开放 的 服务 、Web 服务 软件 版 本 和 这 些 服务 及 软件 呈现 在 Intemet 上 的 安全 漏洞 。 安 全 扫描 
技术 也 是 采用 积极 的 、 非 破坏 性 的 办 法 来 检验 系统 是 否 有 可 能 被 攻击 崩溃 。 它 利用 了 一 系列 
的 脚本 模拟 对 系统 进行 攻击 的 行为 ， 并 对 结果 进行 分 析 。 这 种 技术 通常 用 来 进行 模拟 攻击 实 
验 和 安全 审计 。 安 全 扫描 系统 应 具有 以 下 功能 : 协调 其 他 安全 设备 ， 跟 踪 用 户 在 系统 中 的 行 
为 ;报告 和 识别 文件 改动 ; 纠正 系统 的 错误 设置 ， 识 别 正在 受到 的 攻击 ， 减 轻 系统 管理 员 搜 
索 黑 客 行为 的 负担 ;为 制定 安全 规则 提供 依据 。 

1. 安全 扫描 过 程 


一 次 完整 的 网 络 安全 扫描 可 分 为 3 个 阶段 。 第 1 阶段 , 发 现 目 标 主 机 或 网 络 。 第 2 阶段 ， 
发 现 目标 后 进一步 搜集 目标 信息 ， 包 括 操作 系统 类 型 、 运 行 的 服务 及 服务 软件 的 版 本 等 。 如 
果 目 标 是 一 个 网 络 ， 还 可 以 进一步 发 现 该 网 络 的 拓扑 结构 、 路 由 设备 及 各 主机 的 信息 。 第 3 
阶段 ， 根 据 搜集 到 的 信息 判断 或 者 进一步 测试 系统 是 否 存在 安全 漏洞 。 按 照 扫 描 过 程 来 分 ， 
扫描 技术 又 可 以 分 为 4 大 类 : ping 扫描 技术 、 端 口 扫描 技术 、 操 作 系统 探 测 技术 、 如 何 探测 
访问 控制 规则 以 及 已 知 漏洞 的 扫描 技术 。 

ping 扫射 用 于 网 络 安全 扫描 的 第 1 阶段 ， 可 以 帮助 识别 系统 是 否 处 于 活动 状态 ; 操作 系 
统 探测 、 如 何 探测 访问 控制 规则 和 端口 扫描 用 于 网 络 安全 扫描 的 第 2 阶段 ， 其 中 操作 系统 探 
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测 是 对 目标 主机 运行 的 操作 系统 进行 识别 ， 如 何 探测 访问 控制 规则 用 于 获取 被 防火 墙 保护 的 
远 端 网 络 的 资料 ,而 端口 扫描 是 通过 与 目标 系统 的 TCP/P 端口 连接 , 查看 该 系统 处 于 监听 或 
运行 状态 的 服务 ;漏洞 扫描 通常 是 在 网 络 安全 扫描 第 3 阶段 ， 是 在 端口 扫描 的 基础 上 ， 对 得 
到 的 信息 进行 相关 处 理 ， 进 而 检测 出 目标 系统 存在 的 安全 漏洞 。 

ping 扫描 的 目的 就 是 确认 目标 主机 的 下 地 址 ， 即 扫描 的 下 地 址 是 否 分 配 了 主机 。 对 没 
有 任何 预知 信息 的 黑客 而 言 ，ping 扫描 是 进行 网 络 扫描 及 入 侵 的 第 一 步 ， 也 是 必 不 可 少 的 一 
步 ， 对 已 经 了 解 网 络 整体 人 P 划分 的 网 络 安全 人 员 来 讲 ， 也 可 以 借助 ping 扫描 ， 对 主机 的 中 
分 配 有 一 个 精确 的 定位 。 大 体 上 ，ping 扫描 是 基于 ICMP(Intemet Control Message Protoco]) 协 
议 的 ， 因 此 把 发 现 目 的 网 络 或 主机 的 一 类 基于 ICMP 协议 的 扫描 称 为 ping 扫描 。ping 扫描 的 
主要 思想 就 是 构造 一 个 ICMP 包 ， 发 送 给 目标 主机 ， 从 目标 主机 生成 的 响应 来 进行 判断 。 

ping 扫描 能 确定 目标 主机 的 下 地址 ， 随 后 可 以 通过 端口 扫描 ， 探 测 主机 所 开放 的 端口 。 
因为 端口 扫描 通常 只 做 最 简单 的 端口 联通 性 测试 ， 不 执行 进一步 的 数据 分 析 ， 因 此 比较 适合 
进行 大 范围 的 扫描 : 对 指定 人 P 地 址 进行 某 个 端口 值 范 围 的 扫描 ， 或 者 指定 端口 值 对 某 个 人 P 
地 址 段 进行 扫描 。 然 后 基于 端口 扫描 的 结果 ， 进 行 操作 系统 探测 和 弱点 扫描 。 端 口 扫描 技术 
发 展 到 现在 可 细 分 为 许多 类 型 按照 端口 连接 的 情况 ， 端 口 扫描 可 分 为 TCP 连接 扫描 、 半 边 
接 扫描 和 秘密 扫描 。 其 中 TCP 连接 扫描 是 端口 扫描 最 基础 的 一 种 扫描 方式 。 TCP SYN 扫描 在 
扫描 过 程 中 没有 建立 完整 的 TCP 连接 ， 这 与 TCP 连接 扫描 不 同 ， 故 又 称 为 半 连 接 扫描 。 秘 
密 扫 描 包 含有 TCP FIN 扫描 、TCP ACK 扫描 等 多 种 扫描 方式 。 其 他 端口 扫描 技术 包含 UDP 
扫描 和 了 下 分 段 扫描 等 。 


2. 端口 扫描 技术 


1) TCP 全 连接 扫描 

TCP 全 连接 扫描 就 是 和 目的 主机 建立 一 个 TCP 连接 , 而 目的 主机 的 log 文件 中 会 生成 记 
录 。 扫描 主机 通过 TCP/IP 协议 的 三 次 握手 与 目标 主机 的 指定 端口 建立 一 次 完整 的 连接 。 连接 
由 系统 调用 连接 指令 开始 。 如 果 端 口 开放 ， 则 连接 将 建立 成 功 ， 否 则 ， 若 返回 -1， 则 表示 端 
关闭 。 目 标 主机 的 指定 端口 以 ACK 响应 扫描 主机 的 SYN/ACK 连接 请 求 ， 这 一 响应 表明 
目标 端口 处 于 监听 (打开 ) 的 状态 。 如 果 目 标 端口 处 于 关闭 状态 ， 则 目标 主机 会 向 扫描 主机 发 
送 RST 的 响应 。 


2) TCP SYN 扫描 

全 连接 扫描 中 扫描 主机 和 目的 主机 建立 一 个 TCP 连接 , 目的 主机 的 log 文件 中 会 生成 记 
录 。 与 全 连接 扫描 相对 应 ， 半 连接 扫描 也 称 为 TCP SYN 扫描 。TCP SYN 扫描 ( 半 开 放 扫描 ) 
是 利用 3 次 握手 的 弱点 来 实现 的 。 通 过 向 远程 主机 的 端口 发 送 一 个 请 求 连接 的 SYN 数据 报 
文 ， 如 果 没有 收 到 目标 主机 的 SYN/ACK 确认 报 文 ， 而 是 RST 数据 报 文 ， 就 说 明 远程 主机 的 
这 个 端口 没有 打开 。 而 如 果 收 到 远程 主机 的 SYN/ACK 应 答 ， 则 说 明 远 程 主机 端口 开放 。 在 
收 到 远程 主机 的 SYN/ACK 后 ， 不 再 做 ACK 应 答 ， 这 样 3 次 握手 并 没有 完成 ， 正 常 的 TCP 
连接 无 法 建立 ， 因 此 这 个 扫描 信息 不 会 被 记 入 系统 日 志 ， 不 会 在 目标 主机 上 留 下 记录 。 
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3) 秘密 扫描 技术 

秘密 扫描 是 一 种 不 被 审计 工具 所 检测 的 扫描 技术 。 很 多 防火 墙 和 路 由 器 对 半 连 接 扫描 都 
有 了 相应 措施 ， 这 些 防 火 墙 和 路 由 器 会 对 一 些 指 定 的 端口 进行 监视 ， 将 对 这 些 端 口 的 连接 请 
求全 部 进行 记录 。 秘 密 扫 描 能 躲避 IDS、 防 火 墙 、 包 过 滤器 和 日 志 的 审计 ， 从 而 获取 目标 端 
的 开放 或 关闭 的 信息 。 这 种 技术 不 包含 标准 的 TCP 三 次 握手 协议 的 任何 部 分 ,所 以 无 法 被 
记录 下 来 ， 比 SYN 扫描 隐蔽 得 多 。 秘 密 扫描 有 TCP FIN 扫描 、TCP ACK 扫描 、 NULL 扫描 、 
XMAS 扫描 和 SYN/ACK 扫描 等 。 

TCP FIN 扫描 的 原理 是 扫描 主机 向 目标 主机 发 送 FIN 数据 包 来 探听 端口 , 若 FIN 数据 包 
到 达 的 是 一 个 打开 的 端口 ， 数 据 包 则 被 简单 地 丢掉 ， 并 不 返回 任何 信息 ， 当 FIN 数据 包 到 达 
一 个 关闭 的 端口 ，TCP 会 把 它 判断 成 是 错误 ， 数 据 包 会 被 丢掉 ， 并 返回 一 个 RST 数据 包 。 这 
种 方法 与 系统 的 TCP/IP 实现 有 一 定 关系 , 并 不 是 可 以 应 用 所 有 系统 上 , 有 的 系统 不 管 是 否 打 
开 ， 都 回复 RST， 这 种 扫描 方法 不 适用 。 

TCP ACK 扫描 主要 用 来 探测 过 滤 性 防火 墙 的 过 滤 规 则 ， 无 论 目 标 端口 的 状态 如 何 ， 如 
果 发 送 ACK 报 文 ， 就 只 能 收 到 RST 响应 报 文 。 但 是 对 于 防火 墙 ， 如 果 端 口 被 过 滤 ， 要 么 收 
不 到 报 文 ， 要 么 收 到 ICMP( 目 标 不 可 达 )， 相 反 ， 如 果 没有 被 过 滤 ， 则 收 到 有 关 RST 报 文 。 

XMAS 和 NULL 扫描 是 秘密 扫描 的 两 个 变种 ,XMAS 扫描 将 TCP 包 中 ACK FIN、 RST、 
SYN、URG、PSH 标志 位 置 1， 而 NULL 扫描 关闭 所 有 标记 。 这 些 组 合 的 目的 是 为 了 通过 所 
谓 的 FIN 标记 监测 器 的 过 滤 。 目 标 端口 开放 的 情况 下 ， 目 标 主机 将 不 返回 任何 信息 ， 若 目标 
端口 关闭 ， 则 目标 主机 将 返回 RST 信息 。 

SYN/ACK 扫描 中 ,扫描 主机 不 向 目标 主机 发 送 SYN 数据 包 ， 而 先 发 送 SYN/ACK 数据 
包 。 目 标 主机 将 报错 ， 并 判断 为 一 次 错误 的 连接 。 若 目标 端口 开放 ， 目 标 主机 将 返回 RST 信 
息 ， 若 目标 端口 关闭 ， 目 标 主机 将 不 返回 任何 信息 ， 数 据 包 会 被 丢掉 。 

秘密 扫描 通常 适用 于 UNIX 目标 主机 ， 除 了 少量 的 应 当 丢弃 数据 包 却 发 送 reset 信号 的 操 
作 系 统 ( 包 括 CISCO、BSDI、HP/UX、MVS 和 IRIX) 外 。 在 Windows95/NT 环境 下 ， 该 方法 
无 效 ， 因 为 不 论 目 标 端 口 是 否 打开 ， 操 作 系 统 都 发 送 RST， 与 SYN 扫描 类 似 ， 秘 密 扫描 也 
需要 自己 构造 他 包 。 


4) 其 他 扫描 技术 
其 他 扫描 技术 主要 有 UDP 扫描 、 卫 分 段 扫描 和 代理 扫描 。 
UDP 是 面向 无 连接 不 可 靠 的 数据 包 协 议 , 建立 在 UDP 协议 基础 上 的 UDP 端口 扫描 是 不 
可 靠 的 。UDP 扫描 主要 是 UDP ICMP 端口 不 可 到 达 扫描 。 从 UDP 协议 可 知 ， 如 果 UDP 端 
打开 ， 则 没有 应 答 报 文 ， 如 果 端 口 关 闭会 有 ICMP 报 文 (端口 不 可 达 )。 这 样 ， 只 须 构造 一 
个 UDP 报 文 ， 观 察 响应 报 文 就 可 知道 目标 端口 的 状态 。 虽 然 用 UDP 提供 的 服务 不 多 ， 但 是 
有 些 没有 公开 的 服务 很 可 能 是 利用 的 高 端口 服务 。 如 果 需 要 证 实 有 这 样 的 服务 ， 就 可 以 利用 
这 种 扫描 技术 。 

在 四 分 段 扫描 中 , 主机 并 不 直接 发 送 TCP 探测 数据 包 , 而 将 数据 包 分 成 两 个 小 的 中 段 ， 
这 样 就 将 一 个 TCP 头 分 成 好 几 个 数据 包 ， 从 而 过 滤器 就 很 难 检测 到 ,扫描 就 可 以 在 不 被 发 现 
的 情况 下 进行 。 但 是 对 下 分 段 扫 描 , 一 些 程序 在 处 理 小 数据 包 时 会 有 些 麻烦 ， 并且 不 同 的 操 
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作 系 统 在 处 理 这 个 数据 包 时 ， 也 通常 会 出 现 问题 。 

代理 扫描 , 它 基 于 文件 传输 FTP 协议 .FTP 服务 器 可 发 送 文件 到 互联 网 的 任何 地 方 , FTP 
代理 扫描 难以 跟踪 ,许多 扫描 器 利用 这 些 特点 实现 FTP 代理 扫描 。FTP 端口 扫描 中 ,扫描 主 
机 和 目标 主机 之 间 有 一 个 能 支持 代理 选项 的 FTP 服务 器 、 通 过 代理 FTP 服务 器 与 扫描 主机 及 
目标 主机 的 连接 是 否 能 实现 来 判断 目标 主机 的 某 些 端 口 的 状态 ， 由 于 有 代理 服务 器 的 参与 ， 
FTP 代理 扫描 难以 跟踪 ， 可 以 实现 基于 FTP 协议 的 代理 端口 扫描 。 

3. 漏洞 扫描 技术 

系统 安全 漏洞 也 称 为 系统 脆弱 性 (vulnerability)， 一 般 简称 漏洞 。 网 络 入 侵 的 过 程 一 般 是 
利用 扫描 工具 对 要 入 侵 的 目标 进行 扫描 ， 找 到 目标 系统 的 漏洞 或 弱点 ， 然 后 进行 攻击 。 对 于 
系统 管理 员 来 说 ， 网 络 安 全 的 第 一 步 工 作 也 应 该 是 利用 扫描 工具 扫描 系统 ， 发 现 系 统 的 漏洞 
和 弱点 后 采取 相应 的 补救 措施 。 漏 洞 是 计算 机 系统 在 硬件 、 软 件 、 协 议 的 设计 与 实现 过 程 或 
在 系统 安全 策略 上 存在 的 缺陷 和 不 足 。 漏 洞 的 产生 主要 是 由 于 程序 员 不 正确 和 不 安全 的 编程 
引起 的 。 漏 洞 扫描 实际 上 是 一 个 逐步 探测 漏洞 的 过 程 ， 也 是 一 个 漏洞 扫描 器 最 核心 的 部 分 。 
漏洞 扫描 主要 通过 以 下 方法 来 检查 目标 主机 是 否 存在 漏洞 : 

1) 在 端口 扫描 后 得 知 目标 主机 开启 的 端口 及 端口 上 的 网 络 服务 , 将 这 些 相关 信息 与 网 络 
漏洞 扫描 系统 提供 的 漏洞 库 进行 匹配 ， 查 看 是 否 存在 满足 匹配 条 件 的 漏洞 。 

2) 通过 模拟 黑客 的 攻击 手法 , 对 目标 主机 系统 进行 攻击 性 的 安全 漏洞 扫描 ,如 测试 弱势 
令 等 。 若 模拟 攻击 成 功 ， 则 表明 目标 主机 系统 存在 安全 漏洞 。 基 于 网 络 系统 漏洞 库 ， 漏 洞 
扫描 大 体 包括 CGI 漏洞 扫描 、POP3 漏洞 扫描 、FTP 漏洞 扫描 、SSH 漏洞 扫描 、HTTP 漏洞 
扫描 等 。 这 些 漏洞 扫描 将 扫描 结果 与 漏洞 库 相 关 数 据 比较 得 到 漏洞 信息 。 漏 洞 扫描 还 包括 没 
有 相应 漏洞 库 的 各 种 扫描 , 比如 Unicode 遍历 目录 漏洞 探测 、FTP 弱势 密码 探测 、.OPEN Relay 
邮件 转发 漏洞 探测 等 ， 这 些 扫描 通过 使 用 插件 (功能 模块 技术 ) 进 行 模拟 攻击 ， 测 试 出 目标 主 
机 的 漏洞 信息 。 

3) 基于 网 络 系统 漏洞 库 的 漏洞 扫描 工作 时 , 首先 探测 目标 系统 的 存活 主机 , 对 存活 主机 
进行 端口 扫描 ， 确 定 系统 开放 的 端口 ， 同 时 根据 协议 指纹 技术 识别 出 主机 的 操作 系统 类 型 。 
然后 根据 目标 系统 的 操作 系统 平台 和 提供 的 网 络 服务 调用 漏洞 资料 库 中 已 知 的 各 种 漏洞 进行 
逐一 检测 ， 通 过 对 探测 响应 数据 包 的 分 析 判 断 是 否 存在 漏洞 。 基 于 网 络 系统 漏洞 库 的 漏洞 扫 
描 的 关键 部 分 就 是 它 所 使 用 的 漏洞 库 通过 采用 基于 规则 的 匹配 技术 ， 即 根据 安全 专家 对 网 络 
系统 安全 漏洞 、 黑 客 攻击 案例 的 分 析 和 系统 管理 员 对 网 络 系统 安全 配置 的 实际 经 验 ， 可 以 形 
成 一 套 标 准 的 网 络 系统 漏洞 库 ， 然 后 在 此 基础 之 上 构成 相应 的 匹配 规则 ， 由 扫描 程序 自动 进 
行 漏洞 扫描 工作 。 漏 洞 库 信 息 的 完整 性 和 有 效 性 决定 了 漏洞 扫描 系统 的 性 能 ， 漏 洞 库 的 修订 
和 更 新 的 性 能 也 会 影响 漏洞 扫描 系统 运行 的 时 间 。 因 此 ， 漏 洞 库 的 编制 不 仅 要 对 每 个 存在 安 
全 隐患 的 网 络 服务 建立 对 应 的 漏洞 库 文 件 ， 而 且 应 能 满足 前 面 所 提出 的 性 能 要 求 。 

4) 在 基于 功能 模块 技术 的 漏洞 扫描 中 , 插件 是 由 脚本 语言 编写 的 子 程序 , 扫描 程序 可 以 
通过 调用 它 来 执行 漏洞 扫描 ， 检 测 出 系统 中 存在 的 一 个 或 多 个 漏洞 。 添 加 新 插件 就 可 以 使 漏 
洞 扫描 软件 增加 新 功能 ， 扫 描 出 更 多 漏洞 。 插 件 编写 规范 化 后 ， 甚 至 用 户 自己 都 可 以 用 perl、 
C 或 自行 设计 的 脚本 语言 编写 的 插件 来 扩充 漏洞 扫描 软件 的 功能 。 这 种 技术 使 漏洞 扫描 软件 
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的 升级 维护 变 得 相对 简单 ， 而 专用 脚本 语言 的 使 用 也 简化 了 编写 新 插件 的 编程 工作 ， 使 漏洞 
扫描 软件 具有 强 的 扩展 性 。 

除了 基于 网 络 的 漏洞 扫描 技术 外 , 还 有 基于 主机 的 漏洞 扫描 技术 。 基于 主机 的 漏洞 扫描 ， 
就 是 通过 以 root 身份 登录 目标 网 络 上 的 主机 ， 记 录 系统 配置 的 各 项 主要 参数 ， 分 析 配 置 的 漏 
洞 。 通过 这 种 方法 ,可 搜集 到 很 多 目标 主机 的 配置 信息 。 在 获得 目标 主机 配置 信息 的 情况 下 ， 
将 其 与 安全 配置 标准 库 进 行 比 较 和 匹配 ， 凡 不 满足 者 即 视 为 漏洞 。 通 常 在 目标 系统 上 安装 了 
一 个 代理 (agent) 或 服务 (services)， 以 便 能 够 访问 所 有 的 文件 与 进程 ， 这 也 使 得 基于 主机 的 漏 
洞 扫描 器 能 够 扫描 更 多 漏洞 。 

4. 操作 系统 探测 技术 


操作 系统 探测 技术 分 为 主动 探测 技术 和 被 动 探测 技术 。 主 动 探测 技术 通过 向 目标 系统 发 
送 数 据 ， 促 使 其 做 出 响应 ， 然 后 提出 和 分 析 响 应 数据 的 特征 信息 ， 以 推测 目标 系统 的 操作 系 
统 类 型 ， 被 动 探测 技术 不 主动 激发 目标 系统 的 响应 ， 而 通过 网 络 嗅 探 来 截获 目标 系统 发 出 的 
数据 包 ， 从 中 提取 和 分 析 特 征 信 息 来 获得 操作 系统 的 类 型 。 被 动 探测 方式 的 隐蔽 性 较 强 ， 而 
主动 探测 方式 的 手段 更 显 丰富 ， 更 具有 技巧 性 。 常 用 的 主动 探测 手段 有 : 
e 查询 标识 信息 ， 最 简单 的 情况 是 目标 系统 将 自身 操作 系统 的 有 关 信息 作为 服务 的 内 
容 提供 给 外 界 。 例 如 ， 在 系统 提供 的 服务 中 ， 给 用 户 返 回 的 信息 中 顺便 告知 操作 系 
统 的 类 型 。 
e 二 进 制 文件 分 析 ， 通 过 收集 、 分 析 目 标 系 统 上 的 二 进 制 文件 ， 同 样 可 以 获得 其 操作 
e ICMP 信息 探测 ，Intemet 控制 消息 协议 (ICMP) 是 TCP/IP 协议 栈 中 的 一 个 组 成 部 分 ， 
主要 用 于 在 瑟 主机 、 路 由 器 之 间 传 递 控制 消息 。 目 标 系统 响应 ICMP 命令 时 返回 的 
数据 ， 常 常 反 映 出 其 操作 系统 的 特征 。 例 如 ， 微 软 ICMP 请 求 报 文 的 有 效 载荷 中 包 
含 字母 ， 而 Solaris 和 Linux 的 ICMP 请 求 报 文 的 有 效 载荷 中 包含 了 数字 和 符号 。 
被 动 探测 抓 取 目标 主机 发 送出 来 的 TCP 报 文 , 通过 分 析 报 文中 的 有 关 字 段 ， 获取 操作 系 
统 的 特征 信息 。 常 用 于 操作 系统 类 型 分 析 的 字段 有 : 
e 生存 期 (ITL)，TTL 表明 该 包 在 网 络 中 的 生存 时 间 。 不 同 操作 系统 的 默认 TIL 不 同 ， 
从 而 由 TCP 报 文 中 的 TIL 推测 远程 操作 系统 类 型 。 例 如 ,许多 操作 系统 的 默认 TIL 
小 于 30，Linux 和 FreeBSD 的 默认 TIL 值 被 设置 为 64。 当 被 抓 取 包 中 的 TIL 大 于 
30， 有 理由 推测 其 发 送 者 可 能 就 是 Linux 或 FreeBSD。 
。 滑动 窗口 大 小 ， 在 TCP 协议 中 不 同 操作 系统 设置 的 滑动 窗口 大 小 是 不 同 的 ， 因 此 也 
可 以 作为 探测 依据 。 例如，Cisco 路 由 器 和 微软 的 操作 系统 发 送 的 TCP 报 文 中 的 滑动 
窗口 在 一 次 会 话 过 程 中 是 经 常 改变 的 。Linux、FreeBSD 和 Solaris 系统 并 没有 实现 滑 
动 窗口 算法 ， 它 们 发 送 的 TCP 报 文 在 一 个 会 话 过 程 中 是 维持 不 变 的 ， 而 且 就 是 某 个 
默认 常数 。 
e 分 片 允许 位 (DF)， 许 多 操作 系统 会 使 用 DF 位 置 ， 但 是 SCO 和 ORENBSD 不 会 使 用 
DF 标志 。 
e ”服务 类 型 (TOS), 当 ICMP 端 不 可 到 达 时 , 目的 主机 回 送 的 包 中 经 常 使 用 0, 但 是 Linux 
用 的 是 0xC0， 这 不 是 标准 的 TOS， 而 是 一 个 未 使 用 优先 域 (AFAIK) 的 一 部 分 。 
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e 初始 化 序列 号 (ISN)， 不 同 的 操作 系统 会 为 TCP 连接 选择 不 同 的 初始 化 序列 值 。 例 
如 ， 新 版 本 的 Solaris、IRIX、FreeBSD、Digital、Unix 使 用 的 是 一 个 随机 增 量 ， 
Windows 采用 一 个 “时 间 相 关 ” 模 型 ， 每 隔 一 段 时 间 在 ISN 会 被 加 上 一 个 小 常数 。 

随 着 人 们 信息 安全 意识 的 增强 ,信息 安全 技术 的 发 展 以 及 网 络 复杂 环境 的 增加 ， 对 操作 

系统 的 准确 探测 也 会 变 得 更 困难 。 要 提高 远程 操作 系统 探测 的 准确 度 和 效率 ， 不 仅 需 要 对 操 
作 系 统 远程 探测 技术 进行 更 深入 的 研究 ， 还 需要 结合 其 他 方法 进行 综合 探测 。 


3.6 本章 小 结 


本 章 介绍 了 数据 的 加 密 方法 和 加 密 原理 ， 以 及 密 钥 的 安全 和 管理 方法 。 在 使 用 一 个 安全 
系统 时 ， 需 要 检查 和 验证 请 求 服务 的 用 户 身 份 ， 这 时 用 到 了 3.2 一 节 中 的 身份 验证 技术 。 当 
用 户 成 功 登 录 后 ， 需 要 通过 访问 控制 技术 对 文件 资源 进行 保护 和 管理 。3.4 一 节 的 安全 保障 技 
术 是 判断 信息 系统 可 信 度 的 基础 ， 它 能 够 检验 并 且 提 高 系统 可 信 度 。 网 络 安全 部 分 主要 通过 
网 络 威胁 模型 引出 网 络 协议 安全 、 防 火 墙 技术 、 入 侵 检测 和 安全 扫描 方面 的 知识 。 


第 4 章 “” 代码 安全 静态 分 析 


本 章 导读 
程序 静态 分 析 (Program Static Analysis) 是 指 在 不 运行 代码 的 情况 下 对 代码 进行 评估 的 过 
程 。 静态 分 析 非 常 强 大 ， 因 为 它 允 许 对 多 种 可 能 性 进行 快速 考量 。 静 态 分 析 尤 其 适合 用 于 安 
全 方面 的 检查 ， 许 多 隐藏 的 安全 问题 可 以 通过 对 大 量 代码 进行 可 靠 而 详尽 的 评估 而 被 发 现 。 
本 章 将 详细 介绍 程序 静态 分 析 的 基础 知识 。 
应 掌握 的 知识 要 点 : 
@ 衣 态 分 析 的 概念 ; 
静态 分 析 的 局 限 性 ; 
通过 静态 分 析 能 够 解决 的 问题 ; 
执行 代码 审查 ; 
安全 审查 ; 
静态 分 析 的 过 程 ; 
静态 分 析 中 常见 的 问题 ; 
缓冲 区 溢出 。 


4.1 静态 分 析 


4.1.1 静态 分 析 的 概念 


程序 最 重要 的 属性 之 一 是 正确 性 。 长 期 以 来 ， 专 家 学 者 们 针对 如 何 保证 程序 的 正确 性 、 
尽 可 能 发 现 程序 中 各 种 潜在 的 错误 这 个 问题 提出 了 各 种 各 样 的 代码 分 析 方 法 或 技术 ， 其 中 程 
序 静 态 分 析 是 最 普遍 也 是 最 常用 的 一 种 。 

程序 静态 分 析 (Program Static Analysis) 是 指 在 不 运行 代码 的 方式 下 , 通过 各 种 分 析 工具 对 
程序 代码 进行 扫描 并 做 出 评估 的 过 程 。 

静态 分 析 主 要 具有 以 下 特点 : 

1) 不 实际 执行 程序 ， 只 是 通过 对 代码 的 静态 扫描 对 程序 进行 分 析 ; 

2) 执行 速度 快 、 效 率 高 。 


4.1.2 静态 分 析 的 局 限 性 


对 入 行 不 久 的 程序 员 来 说 ， 对 安全 编程 所 需 的 知识 缺乏 理解 会 导致 其 所 编写 的 代码 不 符 
合 安全 规范 而 引发 安全 问题 。 另 外 ， 即 使 是 经 验 丰富 的 程序 员 也 无 法 完全 避免 在 代码 编写 的 
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过 程 中 出 现 或 多 或 少 的 拼写 错误 ， 这 类 简单 错误 有 时 也 可 能 引发 安全 问题 。 程 序 员 完全 不 知 
道 攻击 者 会 以 怎样 的 方式 来 党 试 利用 某 段 代 码 ， 因 此 即使 是 最 细微 的 错误 也 可 能 是 相当 重大 
的 安全 隐患 。 树 立 了 这 种 认识 ， 我 们 就 意识 到 程序 静态 分 析 的 重要 性 ， 从 而 通过 进一步 学 习 
感受 其 相当 强大 的 安全 问题 识别 能 力 。 

静态 分 析 工 具 能 够 完整 而 客观 地 进行 程序 检测 ， 而 不 管 编码 人 员 是 否 了 解 哪些 代码 是 与 
安全 “相关 的 ”。 与 采用 人 工 校对 的 方式 相 比 ， 这 种 静态 分 析 方 法 显得 更 加 可 靠 和 中 立 。 

静态 分 析 可 在 开发 早期 发 现 错误 ， 甚 至 是 程序 第 一 次 运行 之 前 就 可 以 发 现 ， 这 不 但 降低 
了 修补 漏洞 的 花 销 ， 而 且 这 种 迅速 反馈 机 制 也 有 助 于 指导 程序 员 的 工作 。 程 序 员 也 有 机 会 修 
改 他 们 之 前 没有 注意 到 但 却 很 可 能 发 生 的 错误 。 静 态 分 析 工 具 所 使 用 的 攻击 方法 与 代码 构建 
相关 的 信息 充当 了 知识 转移 的 手段 。 

当 一 种 新 的 攻击 出 现时 ， 静 态 分析 工 具 可 以 迅速 地 对 相关 代码 进行 复查 ， 同 时 分 析 该 新 
型 攻击 能 否 对 代码 构成 威胁 。 在 被 发 现 之 前 ， 某 些 安全 缺陷 已 在 程序 中 存在 很 和 了， 静态 分 
析 工 具有 能 力 针对 新 发 现 的 缺陷 类 型 对 遗留 代码 进行 检查 。 

从 上 面 的 叙述 中 我 们 可 以 更 清楚 地 看 到 程序 静态 分 析 的 安全 问题 识别 能 力 ， 但 事实 证 
明 ， 程 序 静 态 分 析 方 法 并 非 十 全 十 美 ， 它 在 代码 安全 问题 检测 的 大 框架 下 仍然 有 自己 的 局 限 
性 。 其 中 最 普遍 的 局 限 性 就 是 ， 由 于 代码 静态 分 析 是 通过 对 程序 扫描 找到 匹配 某 种 规则 模式 
的 程序 代码 以 发 现 其 中 存在 的 问题 ， 这 样 有 时 会 出 现 将 某 些 正确 代码 错 判 为 缺陷 的 问题 ， 因 
此 在 对 代码 检查 的 过 程 中 会 产生 太 多 无 用 信息 ， 尤 其 是 产生 太 多 误 报 。 过 多 的 误 报 会 带 来 很 
多 困难 。 过 多 的 误 报信 息 不 仅 会 增加 测试 人 员 和 程序 员 的 劳动 力 ， 而 且 ， 查 看 元 长 的 误 报 列 
表 还 可 能 遗漏 掉 隐 藏 在 列表 中 的 真实 漏洞 信息 。 

尽管 误 报 难以 避免 ， 但 从 安全 的 角度 看 ， 漏 报 才 是 最 严重 的 局 限 性 。 漏 报 是 指 程序 中 存 
在 缺陷 ， 但 安全 分 析 工 具 却 没有 检测 出 该 缺陷 。 误 报 的 代价 是 对 分 析 报 告 的 审查 会 花费 更 多 
时 间 ， 但 漏 报 的 代价 却 更 为 严重 。 不 仅 要 为 与 代码 中 存在 漏洞 相关 的 后 果 负 责 ， 而 且 程序 会 
一 直 存在 于 安全 的 假象 中 ， 这 种 假象 源 于 分 析 工 具 表象 的 检查 结果 。 

大 多 数 静态 分 析 工 具 都 会 产生 一 些 误 报 或 者 漏 报 的 情况 ， 而 一 个 静态 分 析 工 具 在 误 报 和 
漏 报 之 问 进行 平衡 的 侧重 不 同 ， 往 往 预 示 着 其 用 途 的 不 同 。 用 于 检测 程序 中 普通 Bug 的 静态 
分 析 工 具 和 专用 于 检测 安全 缺陷 的 静态 分 析 工 具 相 比 ， 前 者 通常 会 力求 产生 少量 的 误 报 而 更 
愿意 接收 漏 报 的 情况 ， 而 后 者 在 漏 报时 付出 的 代价 可 能 会 很 高 ， 所 以 它 通常 会 产生 更 多 的 误 
报 而 尽量 减少 漏 报 的 情况 。 


4.1.3 ”静态 分 析 方 法 


静态 分 析 的 使 用 比 大 多 数 人 所 了 解 的 要 更 广泛 , 在 这 一 节 , 我 们 来 看 看 静态 分 析 的 方法 ， 
静态 分 析 所 拥有 的 方法 通常 包括 : 类 型 检查 、 风 格 检查 、 程 序 理解 、 程 序 验证 、 属 性 检查 、 
Bug 查找 和 安全 审查 ， 本 节 将 重点 介绍 它们 。 


1. 类 型 检查 


类 型 检查 是 最 普遍 的 静态 分 析 形式 ， 也 是 大 多 数 程序 员 熟 悉 的 形式 ， 但 很 多 程序 员 并 未 
给 予 足够 关注 ， 主 要 原因 是 类 型 的 规则 通常 都 是 由 编程 语言 定义 ， 并 由 编译 器 强制 执行 ， 程 
序 员 无 权 决 定 什么 时 候 执 行 分 析 ， 或 者 分 析 如 何 运作 。 即 使 这 样 ， 类 型 检查 依旧 是 一 种 基本 
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的 静态 分 析 ， 它 将 消除 代码 中 存在 的 类 型 错误 。 

类 型 检查 对 代码 中 错误 的 检测 能 力 是 有 局 限 的 ， 另 外 ， 与 其 他 所 有 静态 分 析 技 术 一 样 ， 
类 型 检查 也 存在 误 报 和 漏 报 的 问题 。 

例如 : 

Obijectl] obj =new Sting[1]: 

obj[0] =new ObjectO: 

Java 语句 能 通过 类 型 检查 和 编译 ， 但 在 运行 时 将 会 失败 ，Java 中 的 数组 是 可 变 的 ， 类 型 
检查 工具 允许 一 个 Object 数组 变量 保存 一 个 指向 String 数组 的 引用 ， 但 在 运行 时 ，Java 不 允 
许 这 个 String 数组 保存 对 Object 类 型 对 象 的 引用 。 类 型 检查 工具 不 会 对 代码 有 任何 疑问 ， 但 
代码 运行 时 将 抛 出 ArayStoreException 异常 ， 这 表示 类 型 检查 的 一 次 漏 报 。 

2. 风格 检查 


风格 检查 也 是 静态 分 析 工 具 的 一 种 。 由 于 许多 程序 员 认为 的 好 风格 都 具有 强烈 的 个 人 色 
彩 ， 因 此 大 多 数 风格 检查 程序 在 其 所 执行 的 规则 集中 都 十 分 灵活 。 由 风格 检查 程序 所 显示 的 
错误 常 只 是 影响 代码 的 可 读 性 和 可 维护 性 ， 而 不 是 程序 运行 过 程 中 会 发 生 的 某 种 错误 。 随 着 
时 间 的 推进 ， 很 多 编译 器 也 已 经 实现 了 可 选 的 风格 检查 功能 。 

在 一 个 大 型 编程 项 目的 中 途 很 难 采 用 一 个 风格 的 检查 工具 ， 因 为 对 于 “正确 ”的 风格 ， 
不 同 程序 员 很 可 能 已 经 形成 了 自己 不 同 的 看 法 。 在 项 目 启动 后 ， 仅 为 减少 风格 检查 时 的 输出 
而 重新 检查 一 遍 程序 以 调整 代码 风格 ， 这 不 会 实现 多 少 实际 利益 。 因 此 ， 在 项 目的 开始 采用 
风格 检查 是 最 容易 的 。 

目前 ， 有 许多 开源 的 和 商业 的 风格 检查 程序 可 供 使 用 。 其 中 ， 迄 今 为 止 最 著名 也 是 最 
古老 的 工具 是 Lint。 原 来 许多 由 Lint 所 执行 的 检查 ， 现 在 已 经 并 入 到 当前 流行 的 编译 器 所 
提供 的 各 种 警告 级 别 中 ， 但 是 “类 Lint” 这 个 词 则 成 了 用 于 描述 风格 检查 程序 的 歧视 性 术 
语 。Java 风格 检查 通常 使 用 开源 PMD， 因 为 该 程序 可 以 很 容易 地 选择 你 想 要 遵循 的 风格 规 
则 ， 并 且 添 加 自 定义 规则 也 同样 简单 。 


3. 程序 理解 


程序 理解 工具 能 够 帮助 程序 员 理 解 代码 库 中 的 海量 代码 。 集 成 开发 环境 通常 都 包含 程序 
理解 模块 。 例 如 查找 本 方法 的 所 有 应 用 或 找 出 全 局 变量 的 声明 等 。 更 高 级 一 点 的 分 析 可 支持 
自动 进行 程序 重新 分 解 组 合 的 功能 ， 例 如 对 变量 重 命名 或 将 一 个 函数 分 割 成 多 个 函数 。 

高 水 平 的 程序 理解 工具 将 努力 帮助 程序 员 理解 程序 运作 的 原理 。 某 些 工具 试图 根据 对 
现实 的 分 析 ， 反 向 生成 该 程 序 的 设计 ， 从 而 为 程序 员 提供 关于 此 程序 的 一 个 大 概 视图 。 尽 
管 这 只 是 原始 设计 本 身 的 一 个 拙劣 的 蔡 代 品 ， 但 它 可 以 有 效 地 帮助 程序 员 搞 民 由 他 人 所 写 
的 大 量程 序 代码 。 例 如 Fujaba 工具 包 允 许 在 UML 图 表 和 Java 源 代码 之 问 来 回转 换 ， 某 些 
情况 下 ，Fujaba 还 可 以 从 其 读 取 的 源 代码 推断 出 设计 模式 。 

4 程序 验证 和 属性 检查 


程序 验证 工具 接受 一 份 规格 说 明 及 其 对 应 的 代码 ， 而 后 试图 证 明 该 代码 完美 实现 了 此 规 
格 说 明 。 如 果 这 份 规格 说 明 完整 描述 了 程序 所 要 做 的 所 有 事情 ， 那 么 该 程序 的 验证 工具 就 可 
执行 等 价 检查 以 确认 该 程序 的 代码 与 这 份 规格 说 明 完 全 匹配 。 程 序 员 通 常 很 少 能 有 一 份 用 来 
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进行 等 价 检查 的 规格 说 明 ， 而 且 创建 一 份 这 样 的 规格 说 明 所 需要 做 的 工作 最 终 将 比 编写 代码 
的 工作 量 还 要 大 ， 因 此 ， 通 常人 们 不 会 进行 此 类 正式 验证 。 另 外 ， 从 历史 上 看 ， 等 价 检查 工 
具 还 不 能 解决 任何 大 型 程序 遇 到 的 问题 。 

验证 工具 将 根据 只 描述 部 分 程序 行为 的 部 分 规格 说 明 对 软件 进行 检查 ， 这 种 检查 方式 有 
时 称 为 属性 检查 ， 多 数 属性 检查 工具 或 者 通过 应 用 逻辑 推论 ， 或 者 通过 执行 模型 检查 来 实现 
其 功能 。 

很 多 属性 检查 工具 将 其 重点 放 在 临时 安全 属性 上 。 临 时 安全 属性 规定 了 一 系列 有 序 的 事 
件 ， 而 在 程序 中 绝对 不 能 发 生 这 些 事件 ， 例 如 “一 个 内 存 位 置 ， 当 其 释放 之 后 ， 就 不 应 该 再 
被 读 取 ”。 大 多 数 属 性 检查 工具 都 允许 程序 员 编写 自己 的 规格 说 明 来 检查 程序 特定 的 属性 。 

当 属 性 检查 工具 发 现代 码 有 可 能 与 规格 说 明 不 匹配 时 ， 通 常会 通过 报告 一 个 反例 来 向 用 
户 说 明 它 的 发 现 。 只 要 有 问题 存在 ， 属 性 检查 工具 就 会 报告 这 个 问题 ， 那 么 我 们 就 称 这 个 属 
性 检查 工具 是 健全 的 ， 遵 守 了 相应 的 规格 说 明 。 即 这 个 工具 永远 不 会 出 现 漏 报 的 情况 。 大 多 
数 声称 为 健全 的 工具 都 会 要 求 被 评估 的 程序 符合 一 些 特定 条 件 。 某 些 工 具 不 允许 使 用 函数 指 
针 ， 还 有 一 些 不 允许 使 用 递归 , 或 者 假定 两 个 指针 永远 不 会 互 为 假名 ( 即 不 会 指向 同一 个 内 存 
位 置 )。 在 学 术 环 境 中 ， 健 全 性 是 一 个 十 分 重要 的 特性 ， 因 为 这 方面 任何 程度 的 不 足 都 可 能 被 
贴 上 “没有 原则 ”的 标签 。 但 对 于 现实 中 的 大 量 代码 来 说 ， 几 乎 不 可 能 满足 属性 检查 工具 所 
规定 的 条 件 ， 因 此 其 健全 性 保证 就 没有 什么 意义 。 由 于 这 种 原因 ， 从 业界 人 士 的 角度 看 ， 健 
全 性 很 少 成 为 一 种 对 此 类 工具 的 需求 。 

由 于 追求 健全 性 或 者 其 他 复杂 的 原因 , 属性 检查 工具 也 可 能 产生 误 报 。 在 误 报 的 情况 下 ， 
反例 中 将 包含 一 个 或 多 个 实际 上 并 不 会 发 生 的 事件 。 

5. Bug 查找 


Bug 查找 工具 的 目的 ， 既 不 是 像 风 格 检查 程序 那样 抱怨 格式 化 问题 ， 也 不 是 像 程序 验证 
工具 那样 执行 完全 而 彻底 的 程序 和 规格 说 明之 间 的 比较 。 它 是 用 来 指出 程序 中 存在 的 以 超出 
程序 员 设 想 的 方式 运行 的 那些 代码 。 大 多 数 bug 查找 工具 的 使 用 都 十 分 简单 ， 因 为 它们 都 遵 
守 一 套 默认 规则 ， 用 来 描述 程序 中 常常 预示 含有 bug 的 一 些 模式 。 

比较 高 级 的 bug 查找 工具 能 够 通过 代码 本 身 推测 出 需求 从 而 扩 增 其 内 建 模式 。 有 些 bug 
查找 工具 使 用 了 与 属性 检查 工具 一 样 的 算法 ， 但 是 bug 查找 工具 追求 的 是 产生 较 少 的 误 报 ， 
哪怕 会 产生 较 高 的 漏 报 率 。 理 想 的 bug 查找 工具 就 反例 而 论 是 健全 的 ， 也 就 是 说 ， 当 该 工具 
生成 一 份 bug 报告 时 ， 其 随 附 的 反例 总 是 表现 为 一 个 程序 中 切实 可 行 的 时 间 序 列 。 

6. 安全 审查 

以 安全 为 中 心 的 静态 分 析 工 具 使 用 了 许多 在 其 他 工具 中 使 用 的 技术 ,但 对 于 其 目标 的 关 
注意 味 着 会 以 不 同 的 方式 来 应 用 这 些 技术 。 

最 早 的 安全 工具 非常 贴近 于 风格 检查 工具 ， 它 们 所 指出 的 问题 不 一 定 能 引起 安全 问题 ， 
但 是 ， 它 们 表示 了 一 种 日 益 提高 安全 关注 的 思考 ， 这 些 工 具 一 次 次 地 因为 较 高 的 误 报 率 而 被 
指控 ， 这 是 因为 人 们 试 着 将 这 些 工具 的 输出 作为 一 份 bug 列表 来 看 待 ， 而 不 是 将 其 作为 代码 
审查 期 间 的 一 种 辅助 手段 来 用 。 

现代 安全 分 析 工 具 往 往 更 像 是 一 种 属性 检查 程序 和 bug 查找 程序 的 混合 体 ， 许 多 安全 属 
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性 能 被 简洁 的 表达 为 程序 属性 ， 对 于 一 个 属性 检查 程序 来 说 ， 搜 索 潜 在 的 缓冲 区 溢出 漏洞 可 
以 当做 是 检查 这 样 的 程序 属性 : “程序 不 会 访问 被 分 配 内 存 的 边界 之 外 的 地 址 ”。 从 bug 查 
找 领域 ， 安 全 分 析 工 具 采 纳 了 这 样 一 种 观念 ， 即 开发 人 员 往 往 会 继续 再 使 用 相同 的 不 安全 的 
方法 来 解决 问题 ， 这 可 说 成 是 一 种 不 安全 的 惯例 。 


4.2 ”代码 审查 中 的 静态 分 析 


关于 如 何 使 用 静态 分 析 工 具 ， 有 很 多 东西 需要 了 解 。 或 许 我 们 只 需 知道 将 静态 分 析 工 具 
作为 安全 开发 过 程 的 一 部 分 来 使 用 。 就 此 而 言 ， 辅 助 进行 安全 审查 的 工具 和 大 多 数 其 他 类 别 
的 软件 开发 工具 相 比 ， 存 在 根本 的 不 同 。 例 如 ， 调 试 器 不 要 求 落实 任何 组 织 范围 的 规划 。 作 
为 个 体 时 ， 程 序 员 可 以 在 需要 时 运行 这 个 调试 器 ， 获 得 结果 ， 并 继续 其 他 编程 任务 。 仅 仅 出 
于 软件 安全 的 考虑 很 少 会 产生 急需 程序 员 运 行 调试 器 的 情况 。 出 于 这 种 原因 ， 一 个 组 织 需 要 
有 一 个 计划 ， 规 定 谁 将 指导 安全 审查 ， 什 么 时 候 要 进行 审查 以 及 如 何 基于 审查 结果 来 采取 行 
动 。 由 于 静态 分 析 工 具 可 显著 提高 安全 审查 过 程 的 效率 ， 故 应 将 静态 分 析 工具 作为 这 个 计划 
的 一 部 分 。 


4.2.1 执行 代码 审查 


之 所 以 要 开展 以 安全 为 中 心 的 代码 审查 ， 有 多 种 原因 : 
。 某 些 审查 人 员 的 出 发 点 是 需要 找 出 一 些 可 利用 的 漏洞 ， 用 于 证 明 在 安全 方面 额外 投 
资 的 正确 性 。 
。 对 于 每 个 开始 的 时 候 没有 安全 意识 的 大 型 项 目 ， 开 发 团队 最 终 不 得 不 回 过 头 来 重新 
检查 一 遍 代码 以 进行 安全 方面 的 改进 。 
。 每 个 项 目 至 少 在 每 次 新 版 本 发 布 期 间 要 接受 一 次 安全 审查 ， 以 充分 考虑 要 新 增 的 功 
能 特性 和 正在 进行 的 维护 工作 。 
在 这 3 条 中 ,迄今 为 止 , 第 2 条 要 求 付出 的 时 间 和 精力 是 最 多 的 。 改 进 一 个 编写 时 未 考 
虑 安全 的 程序 将 是 一 项 工作 量 相当 大 的 任务 。 对 同一 段 代 码 ， 后 续 审 查 会 相对 容易 一 些 。 最 
初 的 审查 很 可 能 会 找 出 许多 需要 解决 的 问题 。 后 续 的 审查 发 现 的 问题 应 该 会 相对 少 些 ， 这 是 
因为 程序 员 会 在 一 个 更 健壮 的 基础 上 构建 程序 。 


1. 代码 审查 周期 


首先 ， 我 们 来 概要 地 看 一 下 代码 审查 周期 ， 然 后 详细 对 每 个 阶段 进行 讨论 。 在 这 个 周期 
中 有 4 个 主要 的 阶段 : 


1) 确立 目标 

一 组 定义 完善 的 安全 目标 将 有 助 于 对 应 该 被 审查 的 代码 以 及 应 该 用 于 审查 这 些 代 码 的 
准则 进行 优先 级 排序 。 这 些 目 标 应 该 来 自 于 你 所 面 对 的 软件 风险 的 评估 。 我 们 常常 会 听 到 一 
些 笼统 的 高 级 目标 ， 通 常会 以 下 面 这 儿 句 的 形式 阐述 : 

ee “如果 能 通过 Intemet 访问 到 它 ， 那 么 必须 在 其 发 布 之 前 对 其 进行 审查 。” 

。 “如 果 它 将 处 理 钱 的 问题 ， 那 么 必须 至 少 每 年 对 其 审查 一 次 。” 
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我 们 在 和 人 聊天 的 时 候 也 会 了 解 到 一 些 人 有 更 具体 的 战斗 性 目标 。 一 个 短期 的 关注 点 可 
能 来 自 于 以 下 某 个 声明 : 

e “我 们 不 能 在 下 次 的 一 致 性 审计 中 出 问题 。 要 确保 审计 员 给 我 们 提供 的 是 一 张 干净 

健康 的 清单 。” 

e “我 们 要 结束 各 种 跨 站 点 执行 脚本 漏洞 的 困扰 。” 

你 需要 有 高 级 指导 来 对 代码 审查 目标 进行 优先 级 排序 。 以 单个 程序 为 单位 由 高 向 低地 逐 
级 设置 审查 的 优先 级 。 当 你 已 经 按照 这 种 粒度 进行 划分 时 ， 就 不 要 再 进一步 细 分 了 ;， 至 少 每 
次 都 针对 一 个 完整 的 程序 运行 静态 分 析 。 如 果 你 认为 有 部 分 程序 会 带 来 更 高 风险 ， 那 么 你 可 
能 选择 以 更 详细 的 方式 或 更 频繁 地 审查 分 析 结果 ， 但 是 ， 尽 量 要 让 静态 分 析 工 具 的 结果 来 引 
导 你 的 关注 点 。 

当 我 们 问 人 们 他 们 进行 代码 审查 时 在 寻找 什么 的 时 候 ， 我 们 听 到 的 最 常见 的 回答 
“ 哦 ， 排 在 靠 前 的 问题 吧 ? ”很 糟糕 的 答案 ! 最 大 的 问题 就 是 最 后 的 这 个 “? ”， 如 果 
你 不 能 确定 自己 找 什 么 ， 那 么 你 就 没有 什么 机 会 找到 它 。 此 外 ，“ 排 在 靠 前 ”的 部 分 也 
不 是 焦点 问题 。 针 对 排 在 靠 前 漏洞 而 进行 的 检查 也 只 是 部 分 遵循 了 支付 卡 行业 (PCI， 
Payment Card Industry) 数 据 安 全 标准 ， 但 对 于 你 应 该 查找 的 那些 问题 来 说 ， 这 既 不 能 作 
为 开始 ， 也 不 能 以 此 为 最 终 目 标 。 如 果 你 需要 灵感 ， 那 就 去 检查 一 下 之 前 对 你 计划 审查 
的 程序 或 者 类 似 程序 所 进行 的 代码 审查 结果 。 之 前 发 现 的 问题 会 以 某 种 不 可 思议 的 方式 
再 次 潜 回 到 程序 中 。 对 过 去 的 结果 进行 审查 还 能 为 你 提供 机 会 来 了 解 自 之 前 的 审查 之 后 
都 有 些 什么 东西 发 生 了 改变 。 

确保 审查 人 员 了 解 所 审查 代码 的 功能 和 用 途 。 关 于 此 代码 的 设计 ， 如 果 有 一 份 高 级 的 描 
述 的 话 ， 将 会 有 一 些 帮 助 。 这 时 ， 也 应 该 去 审查 一 下 与 此 代码 相关 的 风险 分 析 结 果 。 如 果 在 
开始 工作 之 前 ， 审 查 人 员 对 风险 不 够 了 解 的 话 ， 那 么 ， 随 着 审查 的 推进 ， 关 于 什么 是 可 以 接 
受 的 ， 什 么 是 不 可 以 接受 的 ， 集 体 的 意见 会 不 断 演变 ， 所 以 ， 这 种 结果 将 不 是 那么 理想 。 那 
种 “我 看 到 它 的 时 候 ， 就 会 了 解 这 个 安全 问题 ”的 “即兴 ”方式 不 会 产生 最 理想 的 结果 。 


2) 运行 静态 分 析 工 具 

头脑 中 有 了 审查 目标 ， 我 们 就 可 以 开始 运行 静态 分 析 工 具 了 。 要 开始 这 个 过 程 ， 需 要 收 
集 目标 代码 ， 对 工具 进行 配置 以 报告 那些 带 来 最 大 风险 的 问题 ， 而 后 禁用 无 关 的 检查 。 本 阶 
段 的 输出 将 作为 在 代码 审查 期 间 使 用 的 一 组 原始 结果 。 

为 得 到 有 效 结果 ， 你 应 该 能 够 编译 所 分 析 的 代码 。 对 于 在 自己 的 构建 环境 中 运行 的 开发 
团体 来 说 ， 这 不 是 什么 问题 ， 不 过 ， 对 于 间接 获得 代码 的 安全 团队 来 说 ， 这 确实 会 是 个 大 问 
题 。 所 有 的 头 文件 在 什么 地 方 ? 你 用 的 是 哪个 版 本 的 库 文件 ? 各 种 明 里 暗 里 的 障碍 能 列 出 一 
张 很 长 的 清单 。 这 时 ， 你 可 能 面临 着 采取 某 种 捷径 的 诱惑 。 即 使 是 所 得 到 的 代码 不 能 编译 ， 
静态 分 析 工具 往往 也 至 少 能 产生 一 些 结果 。 在 执行 分 析 之 前 ， 使 代码 进入 到 可 编译 状态 。 如 
果 你 习惯 于 忽略 来 自 静 态 分 析 工 具 的 语法 解析 错误 和 分 析 和 警告 ， 你 往往 会 错过 重要 的 结果 。 

这 时 ， 你 还 应 该 添加 自 定义 的 规则 ， 从 而 检测 专门 针对 所 分 析 程 序 的 错误 。 如 果 你 的 组 
织 有 一 套 安全 编码 指导 原则 ， 仔 细 检 查 这 些 原则 ， 并 找 出 可 作为 自 定义 规则 进行 编码 的 那些 
条 目 。 默 认 状 况 下 ， 静 态 分 析 工 具 不 会 知道 在 你 的 代码 所 处 的 上 下 文 环境 中 ， 什 么 会 构成 安 
全 违规 。 通 过 根据 实际 环境 而 对 工具 进行 定制 ， 将 获得 很 好 的 机 会 来 极 大 地 提高 该 工具 所 得 
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出 结果 的 质量 。 

在 前 面 进行 的 手工 代码 审查 过 程 中 发 现 的 错误 在 这 里 也 特别 有 用 。 如 果 之 前 识别 出 的 错 
误 能 表述 为 违反 了 某 种 程序 不 变 式 ， 那 么 就 可 以 编写 一 个 规则 来 检测 类 似 的 情况 。 随 着 时 间 
的 推移 , 这 个 规则 集 将 作为 一 种 制度 上 的 备 忘 形式 , 从 而 防止 前 面 出 现 的 安全 失误 重复 出 现 。 


3) 审查 代码 (使 用 静态 分 析 工 具 的 输出 ) 

现在 是 审查 代码 的 时 候 了 。 仔 细 检查 静态 分 析 结 果 ， 但 不 要 将 自己 局 限于 仅仅 是 分 析 结 
果 。 要 让 分 析 工 具 发 现 潜在 的 问题 ， 但 不 要 被 它 在 其 他 问题 上 误导 ， 而 这 些 问题 原本 可 以 通 
过 自己 对 代码 的 检查 来 发 现 。 我 们 通常 可 以 找 出 与 分 析 工 具 所 报告 问题 相关 的 其 他 bug。 这 
种 “邻近 效应 ” 源 于 这 样 的 事实 ， 即 静态 分 析 工 具 经 常会 在 敏感 操作 附近 感到 困惑 ， 这 时 就 
会 报告 一 个 问题 。 尽 管 可 能 原因 不 尽 相同 ， 但 能 让 工具 产生 困惑 的 代码 往往 也 会 让 程序 员 觉 
得 困惑 。 仔 细 检查 所 有 静态 分 析 结 果 , 不 要 仅 停留 在 高 优先 级 的 警告 。 如 果 结果 清单 比较 长 ， 
将 其 分 割 ， 这 样 可 以 由 多 个 审查 人 员 共 同 来 完成 这 项 工作 。 对 单一 问题 进行 审查 是 对 工具 报 
告 这 个 问题 时 所 做 的 假设 进行 验证 。 采 取 缓 解 措施 能 够 防止 这 段 代码 出 现 漏洞 吗 ? 非 受 信 数 
据 源 是 否 确实 不 可 信 ? 由 工具 假设 的 情景 实际 上 是 否 切实 可 行 ? 如 果 你 正在 审查 其 他 人 的 代 
码 ， 你 不 能 够 回答 所 有 这 些 问题 ， 而 应 该 与 代码 的 作者 或 所 有 者 合作 。 某 些 静 态 分 析 工 具 会 
让 结果 的 共享 非常 容易 ， 这 将 简化 这 个 过 程 。 

协力 完成 的 审计 是 一 种 对 等 审查 的 形式 ， 结 构 化 的 对 等 审查 时 一 种 经 过 证 明 的 技术 ， 可 
用 于 识别 所 有 类 型 的 缺陷 。 为 执行 关注 安全 的 对 等 检查 , 最 好 在 审查 团队 中 有 一 个 安全 专家 。 
对 等 审查 和 静态 分 析 都 是 补充 技术 。 当 我 们 执行 对 等 审查 的 时 候 ， 我 们 通常 会 设置 一 位 审查 
人 员 来 负责 仔细 检查 工具 的 输出 。 

代码 审查 结果 可 采取 许多 种 形式 :输入 到 数据 库 中 的 bug、 适 合 程序 员 和 管理 目的 的 使 
用 的 一 份 形式 化 报告 、 软 件 安全 跟踪 系统 中 的 条 目 或 是 一 份 送 给 程序 员 的 非 正式 任务 清单 。 
无 论 其 形式 是 什么 ， 都 要 确保 能 够 得 到 永久 保存 ， 以 便 在 下 一 次 代码 审查 期 间 可 以 使 用 这 些 
结果 。 对 每 个 问题 的 反馈 应 该 包含 一 份 对 问题 的 详细 解释 、 一 份 对 该 问题 所 带 来 的 风险 的 评 
估 以 及 相关 部 分 的 安全 策略 和 风险 评估 文档 参考 。 这 种 对 审查 结果 的 持久 收集 还 适用 于 另 一 
种 用 途 ， 即 作为 安全 培训 的 信息 。 你 可 以 使 用 审查 结果 将 培训 聚焦 于 与 代码 紧密 相关 的 那些 
实际 问题 和 话题 。 


4) 进行 修补 
有 两 种 因素 在 左右 程序 员 对 来 自 安全 审查 反馈 进行 响应 的 方式 : 
。 安全 是 他 们 的 事情 吗 ? 如 果 做 好 安全 是 发 布 他 们 代码 的 先决 条 件 ， 那 么 安全 就 是 他 
们 的 事情 。 不 这 样 的 话 安全 就 无 法 贯彻 ， 因 为 这 项 工作 和 添加 新 功能 、 打 补丁 以 及 
按时 将 代码 发 布 之 类 的 工作 是 竞争 性 的 ， 做 了 这 个 ， 其 他 的 就 会 受到 影响 。 
。 他 们 理解 这 份 反馈 吗 ? 理解 安全 问题 需要 进行 安全 培训 。 此 外 ， 还 需要 将 这 种 反馈 
以 一 种 能 被 理解 的 方式 来 编写 。 源 自 代 码 审查 的 结果 不 像 故 障 测试 用 例 那样 具体 ， 
所 以 此 结果 需要 对 所 涉及 的 风险 给 出 更 完整 的 解释 。 
在 开发 生命 周期 中 ， 如 果 安 全 审查 开展 得 足够 早 的 话 ， 那 么 这 时 就 应 该 对 来 自 安全 审 
查 的 反馈 进行 响应 。 是 不 是 围绕 某 个 具体 的 模块 或 者 某 个 具体 的 功能 而 出 现 大 堆 的 问题 
呢 ? 如 果 是 的 话 ， 这 时 候 就 应 该 回溯 并 查找 设计 相关 的 问题 ， 这 样 可 以 减轻 这 些 问 题 的 严 
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重 性 。 如 果 没 有 这 种 情况 ， 你 可 能 会 发 现 ， 通 过 额外 安全 培训 的 形式 ， 问 题 得 到 了 最 好 、 
最 持久 的 解决 。 

当 程 序 员 解 决 了 审查 所 识别 出 的 问题 时 ， 相 应 的 修复 必须 进行 检验 。 所 采取 的 验证 形式 
取决 于 所 做 更 改 的 性 质 。 如 果 所 涉及 的 风险 较 大 而 所 做 的 更 改 也 不 小 ， 那 么 就 应 该 返回 到 审 
查 阶 段 并 再 次 进行 代码 的 检查 。 

2. 避 开 可 利用 性 陷阱 


安全 审查 本 不 应 该 忙于 创建 一 些 华而不实 的 漏洞 利用 手段 ,但 是 事实 上 这 种 现象 太 常见 
了 ， 安 全 审查 团队 往往 限于 漏洞 利用 手段 的 开发 之 中 。 要 理解 为 什么 会 这 样 ， 先 来 看 一 下 在 
安全 审查 期 间 ， 一 段 代码 可 能 得 到 的 3 种 判定 : 

。 明显 是 可 利用 的 ; 

。 不 能 确定 是 否 安全 ; 

。 明显 是 安全 的 。 

在 这 些 情况 之 间 不 存在 清晰 的 界线 ， 它 们 形成 一 种 光谱 状 的 连续 分 布 。 这 种 分 布 的 最 末 
端 比 中 间 部 分 的 麻烦 要 少 ， 明 显 可 利用 的 代码 要 进行 修补 ， 而 明显 安全 的 代码 可 以 不 用 去 管 
它 。 对 于 中 间 的 情况 ， 也 就 是 那些 不 能 确定 是 否 安全 的 代码 ， 是 比较 棘手 部 分 。 代 码 之 所 以 
会 不 清楚 ， 是 因为 其 逻辑 难以 跟踪 ， 因 为 难以 判断 在 何 种 情况 下 会 调用 这 段 代 码 ， 或 者 是 因 
为 难以 了 解 攻击 者 会 怎样 来 利用 这 个 问题 。 

而 危险 就 在 于 审查 人 员 对 待 这 种 不 确定 代码 的 方式 。 如 果 由 审查 人 员 来 负责 在 对 代码 修 
补 之 前 证 明 这 段 代 码 是 可 利用 的 ， 那么 ,安全 审查 人 员 最 终 将 误 入 歧途 而 忽略 可 利用 的 bug。 
在 程序 员 说 “除非 你 证 明 它 是 可 利用 的 ， 否 则 我 不 会 解决 这 个 问题 ”的 时 候 ， 你 正面 对 着 可 
利用 性 陷阱 。 

可 利用 性 陷阱 是 危险 的 ， 这 有 两 种 原因 。 第 一 ， 开 发 漏洞 利用 手段 是 一 件 消耗 时 间 的 
工作 。 与 其 将 你 的 时 间 花 在 开发 漏洞 利用 手段 上 ， 还 不 如 把 它 花 在 查找 更 多 问题 上 。 第 二 ， 
开发 漏洞 利用 手段 是 一 种 与 其 他 工作 不 大 一 样 的 独特 技能 。 如 果 你 不 能 开发 漏洞 利用 手段 
的 话 ， 会 怎么 样 呢 ? 意味 着 这 个 缺陷 就 不 可 利用 了 吗 ? 还 是 意味 着 你 不 知道 该 用 哪些 技巧 
来 利用 它 呢 ? 

不 要 落 入 可 利用 性 陷阱 ， 而 要 解决 这 些 bug。 如 果 一 段 代 码 不 是 明显 安全 的 ， 设 法 让 它 
变 得 明显 安全 。 有 时 这 种 方式 会 带 来 元 余 的 安全 检查 。 有 时 这 会 引起 一 种 意见 ， 要 求 提供 可 
证 实 的 方法 来 判断 这 段 代码 是 好 的 。 而 有 时 ， 这 也 会 在 代码 中 插入 一 个 可 利用 的 漏洞 。 当 没 
有 提出 错误 时 ， 程 序 员 不 会 总 是 狂热 地 想 要 修改 代码 ， 因 为 任何 更 改 都 会 带 来 引入 新 bug 的 
可 能 性 。 但 另 一 个 方面 一 一 发 布 带 漏洞 的 代码 ， 程 序 员 更 不 愿意 这 样 。 
除了 被 忽略 的 bug 最 终 可 能 导致 的 风险 之 外 ， 一 种 新 的 漏洞 利用 方式 就 是 可 能 性 : 仅仅 
证 明 bug 的 可 能 性 , 而 不 需要 证 明 它 是 可 利用 的 , 这 样 , 就 有 可 能 导致 某 个 公司 的 声誉 受 损 。 
软件 公司 有 时 会 发 现 ， 即 使 所 有 的 迹象 都 表明 某 个 缺陷 不 是 可 利用 的 ， 他 们 也 需要 发 布 相应 
的 安全 补丁 。 


4.2.2 ”开发 过 程 中 的 安全 审查 
将 安全 集成 到 软件 开发 过 程 中 ， 这 说 起 来 容易 ， 但 是 如 果 程 序 员 习 惯 于 忽视 安全 性 的 
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话 ， 这 将 经 历 一 次 艰难 的 转变 。 评 估 和 选择 静态 分 析 工 具 可 能 是 软件 安全 的 活动 中 最 容易 
的 部 分 。 工 具 可 使 得 程序 员 能 更 高 效 地 处 理 软件 安全 问题 ， 但 只 有 工具 不 能 解决 任何 问题 。 
换 句 话 说， 静态 分 析 应 该 作为 安全 的 开发 生命 周期 的 一 部 分 ， 而 不 是 用 其 蔡 代 安全 的 开发 
生命 周期 。 
任何 成 功 的 安全 的 活动 都 要 求 程序 员 接 受 一 种 理念 ， 那 就 是 安全 非常 重要 。 在 传统 的 层 
次 化 组 织 中 ， 这 通常 意味 着 来 自 管理 层 的 对 安全 重要 性 的 宣言 ， 紧 跟着 一 个 或 多 个 管理 层 发 
出 的 信号 ， 说 明 安全 确实 应 该 认真 对 待 。 

接受 静态 分 析 工具 已 逐渐 成 为 推动 安全 的 一 部 分 。 出 于 这 一 原因 ， 静 态 分 析 和 安全 改进 
这 两 个 过 程 往往 交叉 进行 。 这 一 节 主 要 着 力 解决 与 工具 采用 相关 的 障碍 。 


统 的 行为 并 不 是 什么 好 办 的 事 。 乍 一 看 来 , 采用 一 个 静态 分 析 工 具 看 上 去 不 会 有 太 大 的 问题 。 
获得 这 个 工具 ， 运 行 之， 解决 问题 ， 而 后 你 就 搞定 了 。 真 的 是 这 样 吗 ? 错 。 仅 仅 依靠 一 个 新 
工具 就 期 望 对 安全 状态 进行 改变 ， 这 是 不 切合 实际 的 。 

根据 我 们 的 经 验 , 要 成 功 采用 一 个 静态 分 析 工 具 , 有 3 个 大 问题 必须 回答 。 组 织 的 大 小 ， 
以 及 开发 过 程 的 类 型 和 成 熟 度 ， 在 这 些 答案 中 都 有 着 重要 的 影响 。 所 以 这 些 问 题 都 没有 通用 
的 答案 ， 所 以 我 们 只 能 考虑 每 个 问题 可 能 的 答案 。 这 3 个 问题 如 下 。 

1. 谁 会 运行 此 工具 ? 


实际 上 ， 在 理想 情况 下 谁 会 运行 这 种 工具 都 没有 什么 关系 ， 不 过 ， 从 实践 角度 考虑 ， 这 
成 了 一 个 非常 重要 的 问题 ， 比 如 ， 对 代码 的 访问 就 需要 考虑 一 个 因素 。 对 于 谁 会 运行 此 工具 ， 
许多 组 织 有 两 种 明显 的 选择 : 安全 团队 或 者 程序 员 。 


1) 安全 团队 

要 使 其 正常 运作 起 来 ， 你 必须 确保 你 的 安全 团队 具有 适当 的 技能 前 言 之 ， 你 希望 安 
全 人 员 能 有 一 点 软件 开发 的 技能 。 即 使 你 计划 将 程序 员 作 为 这 类 工具 所 产生 信息 的 主要 目标 
消费 者 ， 让 安全 团队 参与 进来 也 有 很 大 好 处 。 该 团队 能 将 风险 管理 的 经 验 带 到 工作 中 来 ， 并 
且 也 往往 能 够 从 整体 上 考虑 一 些 安全 关注 的 问题 。 但 安全 团队 不 编写 代码 ， 所 以 团队 成 员 对 
代码 的 洞察 力 就 不 会 有 开发 人 员 那 么 强 。 对 于 安全 团队 来 说 ， 单 独 进行 代码 的 自习 检查 是 一 
件 艰苦 的 工作 。 事 实 上 ， 即 使 是 让 安全 团队 设置 好 环境 以 便 他 们 能 够 对 代码 进行 编译 ， 也 是 
需要 慎重 对 待 的 事情 。 如 果 你 已 经 有 了 一 套 安全 团队 向 程序 员 提供 代码 级 反馈 的 程序 ， 那 这 
样 做 还 是 有 帮助 的 。 


2) 程序 员 

程序 员 最 了 解 他 们 的 代码 如 何 运行 。 将 这 种 优势 与 分 析 工 具 所 提供 的 漏洞 细节 相 结 合 ， 
因而 你 有 很 好 的 理由 允许 开发 团队 运行 这 个 操作 。 反 过 来 说 ， 程 序 员 总 是 处 于 在 最 后 期 限 之 
前 构建 产品 的 压力 之 下 。 即 使 是 经 过 培训 ， 程 序 员 似乎 也 不 会 有 和 安全 团队 成 员 同等 水 平 的 
安全 知识 和 经 验 。 如 果 程 序 员 要 使 用 分 析 工 具 ， 那 么 要 确保 他 们 有 时 间 能 在 其 计划 表 中 排出 
这 方面 的 时 间 ， 并 且 要 确保 他 们 经 过 了 足够 的 安全 培训 ， 从 而 在 其 工作 中 起 到 作用 。 根 据 我 
们 的 经 验 ， 并 不 是 所 有 程序 员 都 会 成 为 工具 的 操作 者 。 在 每 个 团队 中 要 指派 一 个 高 级 成 员 来 
负责 运行 此 工具 ， 确 保 适 当地 使 用 结果 ， 并 回答 团队 内 其 他 程序 员 与 工具 相关 的 问题 。 
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3) 以 上 全 体 成 员 

第 3 种 选择 就 是 让 程序 员 以 只 产生 高 可 信和 结果 的 模式 运行 这 类 工具 ， 而 通过 安全 团队 来 
指导 那些 更 为 彻底 但 执行 频率 较 低 的 审查 。 这 样 落 在 程序 员 肩 上 的 负担 也 不 会 太 重 ， 同 时 仍 
然 允许 他 们 捕获 某 些 自己 的 错误 。 这 样 做 也 促进 了 安全 团队 和 开发 团队 之 间 的 交流 。 毫 无 疑 
问 ， 团 队 合作 工作 是 最 佳 的 。 

2. 什么 时 候 运 行 此 工具 ? 

决定 什么 时 候 运 行 此 工具 ， 这 比 其 他 问题 更 大 程度 地 决定 了 组 织 开展 安全 审查 的 方式 ， 
就 这 个 问题 来 说 ， 有 许多 可 能 的 答案 ， 但 我 们 最 常 听 到 的 是 这 样 3 种 ， 在 代码 编写 期 间 、 程 
序 生成 的 时 候 以 及 在 到 达 整 个 开发 过 程 中 的 重要 里 程 碑 时 。 恰 当 的 答案 取决 于 此 工具 产生 的 
分 析 结 果 将 如 何 使 用 ， 还 取决 于 运行 此 工具 需要 耗费 多 少时 间 。 


1) 在 代码 编写 期 间 

众多 的 研究 记载 表明 ， 修 复 一 个 bug 所 需 的 开销 随 着 时 间 的 推移 而 不 断 增长 ， 因 此 尽快 
对 新 代码 进行 检查 ， 这 是 有 道理 的 。 实 现 这 一 目标 的 一 种 方式 是 将 源 代码 分 析 工 具 集成 到 程 
序 员 的 开发 环境 中 ， 这 样 ， 程 序 员 就 可 以 按 需 运行 分 析 ， 并 随时 间 的 推移 ， 利 用 此 工具 获得 
专家 意见 。 另 一 种 方法 是 将 扫描 集成 到 代码 提交 过 程 从 而 能 集中 控制 这 种 分 析 。 如 果 程 序 员 
运行 此 工具 的 次 数 较 多 ， 那 么 此 工具 就 需要 快速 运行 而 且 易于 使 用 。 对 于 大 型 项 目 ， 这 可 能 
意味 着 要 求 每 个 程序 员 只 分 析 自己 的 代码 部 分 ， 而 后 在 程序 生成 的 时 候 或 者 达到 重要 里 程 碑 
的 时 候 再 针对 整个 程序 运行 分 析 。 


2) 在 程序 生成 时 

对 于 大 多 数组 织 来 说 ， 软 件 项 目 都 有 一 个 定义 完备 的 程序 生成 过 程 ， 通 常 都 采用 有 规律 
的 预定 时 间 节 点 。 在 程序 生成 时 执行 的 分 析 为 代码 审查 人 员 提 供 了 一 份 可 靠 的 报告 ， 此 报告 
可 用 于 指导 问题 纠正 的 过 程 ， 同 时 ， 此 报告 也 可 为 进一步 展开 人 工 代码 检查 提供 了 一 份 原始 
资料 。 此外, 通过 将 程序 生成 作为 源 代码 分 析 的 时 间 节 点 ,你 就 创建 了 一 种 整个 项 目的 重复 、 
一 致 的 估量 方法 ， 这 为 分 析 驱 动 的 度量 法 提供 了 完美 的 输入 。 这 是 一 种 非常 好 的 方式 ， 通 过 
这 种 方式 ， 可 以 获取 用 于 培训 计划 的 资料 。 


3) 到 达 整个 开发 过 程 中 的 重要 里 程 碑 时 

较 大 程度 上 依赖 于 各 种 过 程 的 组 织 在 项 目的 每 个 里 程 碑 处 都 会 设置 检查 点 , 这 种 里 程 碑 通 
常会 临近 开发 周期 结束 或 者 是 在 开发 期 间 的 某 些 大 的 间隔 期 。 这 些 检查 点 有 时 会 包含 一 些 安全 
相关 的 任务 ， 比 如 设计 审查 或 者 渗透 测试 。 从 逻辑 上 对 此 概念 进行 延伸 ， 检 查 点 像 是 一 个 同时 
使 用 静态 分 析 工 具 的 天 然 位 置 。 这 种 方式 的 负面 影响 就 是 ， 程 序 员 可 能 会 将 对 安全 的 考虑 一 直 
拖延 到 里 程 碑 逼 近 的 时 候 ， 在 这 个 时 候 ， 制 定 别 的 里 程 碑 职责 ， 将 会 把 安全 一 直 推 到 一 种 边缘 
位 置 。 如 果 你 打算 等 到 到 达 里 程 碑 的 时 候 再 使 用 静态 分 析 ， 要 确保 在 此 过 程 中 建立 一 些 强制 性 
的 有 效 手段 。 忽 视 安全 的 后 果 要 能 立即 可 见 ， 并 提前 让 所 有 人 都 知道 。 


3. 分 析 结 果 会 如 何 ? 


当 人 们 仔细 考虑 分 析 工 具 采 用 过 程 的 时 候 ， 往 往 会 忘记 绝 大 部 分 的 工作 是 在 工具 运行 之 
H 现 的 。 提 前 决定 实际 的 代码 审查 应 如 何 执行 ， 是 非常 重要 的 。 


五 
EE 


1) 分 析 工 具 的 输出 阻塞 软件 发 布 

在 项 目 里 程 碑 到 来 时 ， 安 全 团队 将 分 析 工 具 的 输出 作为 检查 点 的 一 部 分 进行 处 理 ， 并 对 
其 进行 优先 级 排序 。 开 发 团队 收 到 排序 的 结果 以 及 安全 团队 关于 应 进行 修补 部 分 的 建议 。 然 
后 ， 开 发 团队 决定 哪些 问题 要 解决 ， 而 哪些 问题 归 类 为 “可 接受 的 风险 ”。 安 全 团队 应 对 开 
发 团队 的 决定 进行 审查 ， 并 且 ， 对 于 那些 看 上 去 开发 团队 所 承担 的 比 本 应 承担 的 风险 要 高 的 
地 方 ， 应 逐步 加 强 用 例 。 如 果 这 种 审查 会 妨碍 项 目 按照 预期 实现 里 程 碑 的 目标 ， 那 么 软件 发 
布 就 真 的 不 那么 顺畅 了 。 如 果 程 序 员 可 以 完全 不 理 皮 分 析 结 果 ， 那 么 他 们 就 没有 针对 问题 进 
行 修改 的 动机 。 

对 于 维护 安全 而 言 ， 渗 透 测试 是 一 种 难以 胜任 的 方式 ， 同 样 道理 ， 这 种 模型 对 于 安全 来 
说 也 是 一 种 难以 胜任 的 方式 : 它 是 一 种 反应 式 方法 。 即 使 软件 发 布 并 不 是 一 种 好 的 长 期 解决 
方案 ， 但 它 可 以 是 一 种 有 效 的 达成 目的 的 手段 。 希 望 程序 员 最 终 会 厌倦 了 他 们 的 发 布 总 是 被 
安全 团队 半路 阻拦 ， 因 而 他 们 决定 采用 一 种 更 主动 的 方式 来 对 待 安全 问题 。 


2) 由 中 心 权威 机 构 少量 发 放 个 别 结果 

工具 使 用 者 的 核心 小 组 可 为 一 个 或 多 个 项 目 查看 所 报告 的 问题 ， 然 后 选 出 个 别 问题 发 送 
给 负责 问题 代码 的 程序 员 。 这 种 情况 下 ， 静 态 分 析 工具 应 报告 所 有 可 报告 的 问题 ， 目 标 是 不 
留任 何 死角 。 

因为 在 形成 最 终 报告 之 前 ， 熟 练 的 分 析 师 会 处 理 所 有 结果 ， 多 疑 误 报 的 情况 在 这 里 并 不 
是 太 关 心 的 问题 。 通 过 这 种 模式 ， 工 具 使 用 者 的 核心 小 组 可 通过 少量 定制 熟练 使 用 此 工具 ， 
进而 能 够 逐渐 对 大 量 结果 进行 熟练 检查 。 


3) 由 中 心 权 威 机 构 设置 精确 的 关键 问题 

一 个 组 织 中 存在 着 大 量 项 目 ， 因 而 ， 即 便 审查 人 员 的 效率 相当 高 ， 管 理 中 心 的 效率 会 逐 
渐 受 限于 参与 结果 审查 的 人 数 。 不 过 ， 遂 常 大 部 分 严重 的 安全 问题 都 会 高 度 集中 于 少量 类 型 
的 问题 。 根 据 这 种 情况 ， 项 目 团 队 将 会 把 工具 限于 针对 少量 特殊 的 问题 类 型 而 使 用 ， 这 些 类 
型 的 问题 会 根据 该 组 织 所 面临 的 风险 ， 随 着 时 间 的 推移 而 发 展 或 者 变化 。 最 后 ， 定 义 一 组 运 
行 良好 的 一 定 范围 内 的 问题 类 型 ， 将 其 作为 一 种 集中 控制 的 策略 、 标 准 ， 或 者 是 一 组 指导 方 
针 。 其 变化 的 速度 应 该 与 开发 团队 修改 并 解决 所 有 处 于 此 范围 内 的 问题 的 速度 同步 。 从 总 体 
上 来 看 ， 这 种 方式 为 人 们 提供 了 一 种 机 会 ， 即 随 着 工具 的 使 用 和 时 间 的 推移 ， 逐 步 积 累 经 验 
慢 慢 成 为 专家 。 

综 上 所 述 ， 安 全 工具 倾向 于 预先 配置 以 检测 出 尽 可 能 多 的 问题 。 如 果 你 正 试 着 指出 某 个 
工具 能 检测 些 什么 东西 的 时 候 ， 这 样 确实 挺 好 ， 不 过 ， 如 果 你 承担 着 仔细 检查 每 一 个 问题 的 
任务 ， 这 种 方式 就 不 存在 什么 优势 了 。 无 论 你 如 何 回答 关于 工具 采用 的 问题 ， 这 里 我 们 给 出 
的 建议 都 是 一 样 的 ， 从 小 处 着 手 。 避 开 分 析 工 具 能 检测 的 大 部 分 东西 ， 而 后 集中 于 小 范围 的 
重点 且 熟 知 的 问题 。 只 有 当 存 在 有 使 用 分 析 工 具 的 工作 程序 、 且 初始 关注 的 问题 已 经 得 到 控 
制 的 时 候 ， 才 可 以 扩大 检测 的 问题 范围 。 无 论 你 怎么 努力 ， 现 存 的 大 量 代码 都 不 会 一 夜 之 间 
变 得 很 完美 。 你 所 在 的 组 织 内 的 人 会 因为 你 帮 他 们 做 出 了 某 些 优先 级 排序 的 决定 而 感谢 你 。 


4.2.3 静态 分 析 度 量 标准 
源 自 静态 分 析 结果 的 度量 标准 可 用 于 排序 补救 工作 的 优先 级 、 在 多 个 项 目 之 间 调 配 资 
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源 、 从 高 效 的 安全 过 程 获得 反馈 。 理 想 情况 下 ， 应 该 能 使 用 源 自 静态 分 析 结果 的 度量 标准 来 
帮助 量化 与 某 段 代 码 相 关 的 风险 总 量 ， 但 使 用 工具 来 进行 风险 估量 是 很 难 做 到 的 。 最 明显 的 
问题 是 始终 存在 的 误 报 和 漏 报 ， 不 过 ， 对 其 进行 补偿 还 是 有 可 能 的 。 通 过 手工 方式 审计 足够 
多 的 结果 ， 对 于 某 个 给 定 项 目 ， 安 全 团队 可 预知 误 报 和 漏 报 发 生 的 几率 ， 并 从 一 组 原始 的 结 
果 中 推断 出 正确 判定 的 问题 数量 。 使 用 静态 分 析 来 量化 风险 的 更 深层 问题 是 没有 太 好 的 方法 
来 计算 由 一 组 漏洞 带 来 的 风险 总 量 。 两 个 缓冲 区 溢出 所 带 来 的 风险 是 单个 缓冲 区 溢出 的 两 倍 
吗 ? 那么 十 个 呢 ? 由 工具 识别 出 的 代码 级 漏洞 完全 不 能 算 作对 风险 的 精确 刻画 。 

我 们 不 应 该 试图 使 用 静态 分 析 结果 来 直接 量化 风险 ， 而 应 将 其 作为 一 种 战术 级 的 方法 ， 
以 集中 安全 工作 的 焦点 ， 并 作为 一 种 创建 代码 的 过 程 的 间接 度量 。 


1. 战术 关注 点 的 度量 
许多 简单 的 度量 标准 都 可 通过 静态 分 析 结果 实例 化 。 我 们 来 看 看 下 面 这 些 度量 标准 。 


1) 估量 漏洞 密度 

我 们 已 经 否决 了 漏洞 密度 的 度量 标准 ， 那 么 这 里 还 能 说 点 什么 呢 ? 将 静态 分 析 结 果 的 数 
量 除 以 代码 行 数 ， 对 于 风险 的 估量 来 说 ， 是 一 种 糟糕 的 方式 ， 但 对 于 估量 进行 完整 的 审查 所 
需 的 工作 量 来 说 ， 这 是 一 种 不 错 的 方式 。 比 较 不 同 模块 或 者 不 同 项 目的 漏洞 密度 ， 有 助 于 用 
公式 化 的 方法 进行 审查 工作 的 优先 级 排序 。 不 断 跟踪 漏洞 密度 ， 可 以 洞察 工具 的 输出 是 否 引 
起 了 注意 。 


2) 通过 严重 性 比较 项 目 
静态 分 析 结 果 可 用 于 项 目 比较 。 图 4-1 展示 了 两 个 模块 间 的 一 种 比较 : 
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图 4-1 通过 严重 性 分 组 两 子 项 目 源 代码 分 析 结 果 


其 中 就 是 用 了 通过 严重 性 分 组 的 源 代码 分 析 结 果 ， 这 张 图 表 提 供 了 一 种 行动 计划 的 建 
议 : 检验 第 一 个 模块 的 关键 性 问题 ， 而 后 转 到 第 二 个 模块 的 严重 程度 较 高 的 问题 。 

通过 并 列 比较 项 目 ， 可 以 帮助 人 们 了 解 他 们 所 面临 的 工作 有 多 少 ， 与 同事 们 的 工作 相 比 
如 何 。 当 你 提供 项 目 对 比 时 ， 要 点 出 名 字 ， 指 定 到 每 个 人 。 
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3) 通过 类 别 来 细 分 结果 

图 4-2 给 出 了 通过 类 别 划 分 的 单个 项 目的 分 析 结果 。 这 张 圆 形 统计 图 给 出 了 解决 每 个 类 
型 问题 大 致 需要 的 补救 工作 量 。 该 图 还 提示 我 们 ， 在 即将 到 来 的 培训 课程 中 ， 日 志 伪造 和 跨 
站 点 执行 脚本 是 很 好 的 话题 。 
下 日 志 伪造 (12) 


掉 跨 站 点 执行 脚本 (12) 
a 侵犯 隐私 (3) 


号 竞 态 条 件 (2) 


口令 管理 (1) 
图 42 通过 类 别 细 分 的 源 代码 分 析 结 果 


源 代码 分 析 结 果 也 可 指出 发 展 趋 势 。 关 注 安全 的 团队 将 在 他 们 的 代码 中 减少 静态 分 析 的 
发 现 。 发 现 的 问题 数量 急剧 增长 的 情况 值得 注意 。 


4) 对 趋势 进行 监测 

某 些 类 型 问题 的 绝对 存在 可 作为 一 种 对 较 普 遍 的 安全 缺陷 的 早期 指示 器 。 判 断 这 类 可 作 
为 前 期 指示 器 的 问题 ， 要 求 具有 使 用 检查 特定 类 别 软件 的 某 些 经 验 。 根 据 我 们 的 经 验 ， 对 于 
C 语言 编写 的 程序 来 说 ， 大 量 与 字符 相关 的 缓存 区 溢出 就 是 问题 的 一 种 征兆 。 

更 复杂 的 度量 利用 源 代 码 分 析 器 的 能 力 ， 在 不 同 的 构建 版 本 之 间 针 对 同样 问题 给 出 同 
样 的 标示 符 。 通 过 不 断 跟踪 同一 个 问题 ， 并 将 其 与 人 工 审计 提供 的 反馈 相 结合 ， 源 代码 分 
析 器 可 检查 项 目的 进展 。 例 如 ， 静 态 分 析 结果 能 揭示 开发 团队 对 安全 漏洞 的 响应 方式 。 在 
审计 人 员 识 别 出 一 个 漏洞 后 ， 程 序 员 平均 花 多 长 时 间 解 决 这 个 问题 ? 我 们 将 这 段 时 间 称 做 
漏洞 停留 期 。 

静态 分 析 结 果 还 可 以 帮助 安全 团队 决定 何 时 对 某 段 代码 进行 审计 。 审 计 频率 应 与 开发 
的 速度 保持 同步 。 但 更 好 的 情况 是 ， 它 应 与 潜在 的 安全 问题 引入 代码 的 速度 保持 同步 ， 同 
步 持 续 跟踪 某 个 问题 的 静态 分 析 结 果 能 向 安全 团队 展示 在 一 个 项 目 中 包含 了 多 少 未 经 审查 
的 问题 。 


4.3 ”静态 分 析 的 过 程 


图 4-3 显示 了 静态 分 析 安 全 工具 框图 。 
源 代码 太一 -|[ 建 模 厂 一 >[ 执 行 分 析 | 提供 结果 


安全 知识 
图 4-3 静态 分 析 安 全 工具 框图 
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4.3.1 建 模 


静态 分 析 工 具 首 先 要 做 的 ， 是 用 一 个 程序 模型 来 表示 待 分 析 的 代码 ， 即 提取 目标 代码 的 
数据 结构 。 该 程序 模型 与 所 选择 执行 的 分 析 类 型 密切 相关 ， 在 构建 该 模型 的 过 程 中 ， 静 态 分 
析 工 具 一 般 会 借用 大 量 来 自 编译 器 领域 的 技术 ， 其 中 最 重要 的 技术 如 下 所 述 。 

1. 词法 分 析 

工具 针对 源 代 码 进行 的 第 一 个 操作 ， 是 将 其 转换 为 一 系列 记号 ， 这 个 记号 流 的 创建 过 程 
称 为 词法 分 析 ( 程 序 文本 中 空白 或 注释 等 不 重要 的 部 分 将 直接 跳 过 )。 词 法 规则 通常 采用 正则 
表达 式 来 识别 记号 。 

2. 解析 

语言 解析 器 中 用 来 匹配 上 述 记号 流 的 是 一 种 与 上 下 文 环境 无 关 的 语法 。 该 语法 由 一 组 产 
生 式 构 成 ， 用 语言 中 的 一 对 符号 来 标记 。 解 析 器 通过 将 构成 语法 的 产生 式 规 则 与 上 述 记 号 流 
进行 匹配 而 执行 一 种 派生 。 如 果 每 个 符号 都 与 派生 出 此 符号 的 那个 符号 相连 接 ， 那 么 一 棵 解 
析 树 就 形成 了 。 


3. 抽象 语法 


基于 一 棵 解析 树 来 进行 重要 的 分 析 不 仅 可 行 ， 而 且 执 行 某 些 特定 类 型 的 格式 检查 会 收 到 
很 好 的 效果 。 这 种 树 中 的 节点 是 直接 从 语法 的 产生 式 规则 派生 而 来 的 ， 而 这 些 规则 会 引入 一 
些 非 终 结 符号 ， 这 种 符号 的 存在 纯粹 是 为 了 使 得 解析 易于 进行 而 没有 歧义 ， 而 不 是 为 了 产生 
更 易 理 解 的 树 ， 通 常 来 说 ， 要 进行 这 种 分 析 ， 较 好 的 做 法 是 在 程序 文本 中 ， 提 取 语 法 中 的 细 
节 和 句法 中 的 修饰 成 分 。 完 成 这 项 工作 的 数据 结构 称 为 抽象 语法 树 (AST，Abstract Syntax 
Tree)。AST 一 般 是 通过 将 语法 的 产生 式 规则 与 树 状 代码 结构 相关 联 而 构建 的 ， 其 目的 就 是 提 
供 一 种 标准 程序 版 本 以 供 后 期 分 析 之 用 。 

根据 系统 的 需要 ，AST 可 包含 一 个 比 源 语言 数量 更 有 限 的 结构 。 例 如 ， 对 方法 的 调用 可 
能 会 转换 为 对 函数 的 调用 ， 或 者 for 和 do 循环 可 能 转换 为 while 循环 。 以 这 种 方式 对 程序 进 
行 重大 简化 称 为 降级 。 紧 密 相关 的 语言 ， 如 C 和 C++， 可 被 降级 为 同一 种 AST 格式 ， 不 过 
这 种 降级 也 带 来 了 牌 曲 程序 员 意 图 的 风险 。 句 法 上 相似 的 语言 ， 如 C++ 和 Java， 可 共享 许多 
相同 的 AST 节点 类 型 ， 但 毫 无 疑问 会 有 一 些 特 殊 类 型 的 节点 仅 用 于 各 自 的 语言 中 。 

4. 语义 分 析 

分 析 工 具 在 生成 AST 的 同时 ， 也 会 生成 一 张 符号 表 。 该 符号 表 将 程序 中 每 个 标识 符 的 
类 型 和 声明 或 定义 的 指针 与 其 相关 联 。 在 得 到 AST 和 相应 的 符号 表 后 , 分 析 工 具 执 行 类 型 检 
查 所 需 的 准备 工作 宣告 结束 。 

在 编译 器 领域 ， 类 型 检查 和 符号 分 析 都 是 作为 语义 分 析 的 概念 而 提 及 的 ， 这 是 因为 编译 
器 会 给 程序 中 发 现 的 这 些 符号 赋予 一 定 的 意义 。 使 用 这 些 数据 结构 的 静态 分 析 工 具 比 起 那些 
没有 使 用 的 工具 来 说 ， 具 有 明显 的 优势 。 

在 语义 分 析 后 , 编译 器 和 较 高 级 的 静态 分 析 工 具 就 将 分 道 扬 镀 了 。 现代 编译 器 利用 AST、 
符号 和 类 型 信息 生成 一 种 中 间 的 表示 法 (便于 优化 的 通用 版 本 机 器 码 )， 之 后 转换 为 平台 特有 


| 
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的 目标 代码 。 荐 态 分 析 的 过 程 就 比较 复杂 了 ， 静 态 分 析 工 具 根据 所 执行 分 析 类 型 的 不 同 ， 可 
能 需要 以 AST 为 基础 执行 额外 转换 ， 或 者 生成 特有 的 中 间 表 示 法 变种 。 

如 果 静 态 分 析 工 具 使 用 自己 的 中 间 表 示 法 ， 那 么 通常 至 少 会 允许 赋值 、 分 支 、 循 环 和 函 
数 调用 。 静 态 分 析 工 具 所 使 用 的 中 间 表 示 法 通常 是 比 编译 器 使 用 的 中 间 表 示 法 更 高 级 的 程序 
视图 。 例 如 ，C 语言 编译 器 可 能 会 为 自己 的 中 间 表 示 法 而 将 所 有 对 代码 字段 的 引用 变换 为 此 
结构 内 的 字 节 偏 移 ， 而 静态 分 析 工 具 则 更 可 能 继续 通过 其 名 称 来 指向 结构 字段 。 


5. 跟踪 控制 流 


许多 静态 分 析 算 法 都 会 探究 函数 执行 可 能 采取 的 路 径 。 因 此 ， 绝 大 多 数 分 析 工 具 都 会 在 
AST 或 者 中 间 表 示 法 之 上 生成 一 个 控制 流 图 以 使 算法 更 高 效 。 控制 流 图 中 的 节点 是 一 些 基本 
块 : 指令 序列 总 以 连续 方式 从 第 一 条 执行 到 最 后 一 条 。 另 外 ， 其 边界 执行 代表 着 基本 块 之 间 
隐 含 的 控制 流 路 径 ， 返 回 边界 代表 着 隐 含 的 循环 。 

程序 运行 时 的 控制 流 可 用 其 执行 的 一 系列 基本 块 来 描述 。 控 制 流 的 轨迹 是 一 个 基本 块 组 
成 的 序列 ， 这 个 序列 就 是 一 条 完整 的 代码 执行 路 径 。 

调用 图 描述 了 函数 或 者 方法 之 间 潜 在 的 控制 流 。 如 果 缺 少 函数 指针 或 者 虚 函 数 ， 我 们 仅 
是 通过 查找 每 个 函数 中 引用 的 函数 指针 来 构建 调用 图 。 在 构建 好 的 调用 图 中 , 节点 表示 函数 ， 
有 向 边缘 表示 隐 含 的 调用 。 

在 函数 指针 或 者 虚 函数 被 调用 时 ， 分 析 工 具 会 将 数据 流 分 析 和 数据 类 型 分 析 组 合 使 用 来 
限制 从 某 个 调用 点 上 可 能 引用 的 函数 集合 。 在 运行 时 动态 载 入 代码 模块 的 情况 下 ， 因 为 那些 
在 分 析 时 不 可 见 的 代码 可 能 会 被 程序 运行 ， 所 以 此 时 没有 能 确保 控制 流 图 完整 无 缺 的 方法 。 

对 于 交叉 使 用 多 种 编程 语言 的 软件 系统 ， 或 者 由 多 个 相互 协作 的 程序 构成 的 软件 系统 ， 
静态 分 析 工 具 将 完美 地 缝合 出 一 张 表 示 各 部 分 之 间 连 接 的 控制 流 图 。 对 于 某 些 系统 来 说 ， 配 
置 文件 中 保存 着 调用 图 在 不 同 环境 中 所 需 的 数据 。 

6. 跟踪 数据 流 

检查 数据 在 程序 中 的 移动 的 路 径 通常 采用 数据 流 分 析 算 法 。 编 译 器 执行 数据 流 分 析 ， 从 
而 定位 寄存 器 、 移 除 无 用 代码 、 并 执行 许多 其 他 的 优化 。 

数据 流 分 析 一 般 是 对 某 个 函数 的 控制 流 图 进行 遍历 ， 同 时 记录 数据 值 的 产生 和 使 用 位 
置 。 将 函数 变换 为 静态 单一 赋值 (SSA，Static Single Assignment) 形 式 ， 这 对 许多 数据 流 问 题 
来 说 都 是 有 益 的 。SSA 形式 的 函数 只 允许 对 每 个 变量 进行 一 次 赋值 。 为 适应 这 种 约束 ， 就 必 
须 将 新 变量 引入 到 程序 中 。 

如 果 某 个 变量 分 别 沿 着 不 同 控制 流 图 被 赋予 了 不 同 的 值 , 那么 在 SSA 形式 中 , 这 个 变量 
必须 在 控制 流 路 径 融 合 的 那个 位 置 进行 合并 处 理 。SSA 引入 一 个 新 型 变量 并 将 来 自 两 条 控制 
流 路 径 之 一 的 值 赋 给 这 个 新 型 变量 ， 通 过 这 种 方法 来 完成 上 述 融 合 。 用 于 融合 点 的 这 种 简化 
符号 称 为 一 个 yw- 函 数 。 

7. 污染 传播 

安全 工具 需要 知道 程序 中 的 哪个 值 可 能 会 被 攻击 者 控制 。 污染 传播 通过 数据 流 来 判定 攻 
击 者 能 够 控制 的 值 ， 它 要 求知 道 数 据 在 程序 中 的 进入 地 点 以 及 传送 方式 。 污 染 传播 在 对 许多 
输入 验证 缺陷 以 及 表示 缺陷 的 识别 中 起 着 重要 的 作用 。 例 如 ， 一 个 程序 中 如 果 含 有 一 个 可 被 


。114 。 软件 安全 测试 及 工具 应 用 


利用 的 缓冲 区 溢出 漏洞 ， 那 么 一 般 也 会 包含 一 条 从 输入 函数 至 有 漏洞 操作 的 数据 流 路 径 。 
8. 指针 别名 歧义 


数据 流 的 另 一 个 有 关 问 题 是 指针 别名 分 析 。 其 目的 是 获知 可 能 会 指向 相同 内 存 地 址 的 那 
些 指针 。 别 名 分 析 算 法 采用 “必需 的 别名 ”，“ 人 允许 的 别名 ”和 “不 允许 的 别名 ”这 样 的 术 
语 来 描述 指针 间 的 关系 。 许 多 编译 器 优化 需要 某 种 形式 的 别名 分 析 以 确保 正确 性 。 

静态 分 析 工 具 假 定 指针 (至 少 是 作为 函数 传递 的 指针 ) 不 存在 别名 ， 这 种 情况 是 比较 常见 
的 。 对 于 大 多 数 工 具 来 说 ， 进 行 这 种 假定 往往 看 起 来 足以 产生 有 用 的 结果 ， 但 这 样 会 使 工具 
遗漏 掉 重要 结果 。 


4.3.2 ”分析 算法 


提高 上 下 文 环境 敏感 度 并 逐一 判断 特定 代码 的 运行 环境 及 运行 条 件 ， 这 就 是 使 用 高 级 静 
态 分 析 算 法 的 动机 。 随 着 上 下 文 环境 敏感 度 的 提高 ， 我 们 就 能 更 好 地 评估 目标 代码 可 能 带 来 
的 危险 。 要 指出 所 有 调用 stcpyO 的 地 方 并 将 其 蔡 换 是 比较 容易 的 ， 难 的 是 仅 关注 那些 可 能 为 
攻击 者 开展 缓冲 区 溢出 攻击 提供 了 可 能 性 的 strcpy0 调 用 。 

所 有 高 级 分 析 策 略 的 构成 都 至 少 包 含 2 个 主要 组 件 : 一 个 是 程序 内 分 析 组 件 ， 用 来 分 析 
单个 函数 ， 男 一 个 是 程序 间 分 析 组 件 ， 用 于 分 析 函 数 间 的 交互 行为 。 由 于 程序 内 和 程序 间 的 
名 字 很 相似 ， 所 以 我 们 使 用 更 通俗 的 术语 “本 地 分 析 ” 来 表示 内 分 析 ， 而 用 “全 局 分 析 ” 来 
表示 程序 间 分 析 。 


1. 断言 检查 


断言 可 用 来 描述 许多 安全 属性 ， 而 且 ， 这 些 断 言 对 要 保护 的 程序 来 说 必须 是 真实 的 。 

如 果 程 序 的 四 和 辑 保证 这 个 断言 总 是 有 效 的 ， 就 不 可 能 发 生 缓冲 区 溢出 。 如 果 存 在 一 组 条 
件 , 在 这 些 条 件 下 这 个 断言 可 能 失效 , 那么 分 析 程 序 就 应 该 报告 一 个 潜在 的 缓冲 区 溢出 错误 。 
利用 这 种 断言 的 方法 同样 能 很 好 地 进行 需求 定义 , 这 些 需 求 可 用 于 避免 出 现 SQL 注入 、 跨 站 
点 执行 脚本 等 。 

通常 有 以 下 3 种 从 安全 特性 产生 的 断言 

1) 大 部 分 安全 问题 都 由 程序 员 引 起 ， 他 们 在 不 该 信任 的 时 候 信任 了 输入 , 因此， 分 析 工 
具 应 该 检查 那些 与 在 程序 中 传送 时 数据 被 赋予 的 信任 等 级 相关 的 断言 。 这 些 都 属于 污染 传播 
问题 。SQL 注入 和 跨 站 点 执行 脚本 是 两 种 漏洞 类 型 ， 它 们 将 使 分 析 工 具 构 造 有 关 污 染 传播 的 
断言 。 在 最 简单 的 情景 中 ， 数 据 的 值 或 者 被 污染 了 或 者 没有 。 另 一 种 情况 是 ， 仅 一 段 数据 就 
可 能 携带 了 一 个 或 多 个 特定 类 型 的 污染 。 

2) 查找 可 利用 的 缓冲 区 溢出 漏洞 所 引发 的 断言 与 源 自 污染 传播 的 断言 相似 , 但 判断 一 个 
缓冲 区 是 否 发 生 溢出 ， 它 要 求 跟踪 的 远 不 止 是 否 涉及 污染 的 数据 ;分 析 工具 还 需要 知道 这 个 
缓冲 区 的 大 小 以 及 用 作 索 引 的 那个 值 。 由 于 它 要 求知 道 一 个 变量 可 能 有 的 潜在 值 的 范围 ， 所 
以 也 将 这 些 分 析 称 为 范围 分 析 问 题 。 

3) 某 些 情况 下 , 工具 不 太 关心 具体 的 数据 值 , 而 更 多 关心 某 个 对 象 在 程序 运行 时 的 状态 。 
这 称 为 是 类 型 状态 一 一 在 代码 中 的 每 个 位 置 ， 变 量 都 可 以 有 不 同 的 类 型 。 


第 4 章 ， 代 码 安全 静态 分 析 “115。 


2. 本 地 分 析 方法 


抽象 解释 : 是 一 种 通用 技术 ， 这 种 方法 首先 将 程序 中 与 所 关注 的 属性 无 关 的 信息 抽取 出 
去 ， 而 后 使 用 选中 的 程序 抽象 执行 一 种 解释 。 

循环 带 来 的 问题 可 通过 执行 一 种 流 敏感 分 析 来 加 以 解决 ， 这 种 分 析 没有 考虑 所 执行 语 
句 的 顺序 。 从 程序 员 角 度 看 ， 这 可 能 看 起 来 是 一 种 相当 极端 的 方法 ， 语 句 在 程序 中 呈现 的 顺 
序 是 非常 重要 的 。 不 过 ， 流 敏感 的 分 析 保 证 所 有 语句 排序 方法 都 经 过 考虑 ， 这 为 考虑 到 所 有 
可 行 的 语句 执行 顺序 提供 了 保障 。 这 种 方法 排除 了 对 复杂 的 控制 流 分 析 的 需要 ， 但 其 代价 是 
许多 不 可 能 的 语句 执行 顺序 可 能 也 会 进行 分 析 。 那 些 致力 于 控制 误 报 的 工具 通常 至 少 会 部 分 
尝试 使 用 流 敏 感 的 分 析 ， 以 便 不 会 报告 那些 当 程序 运行 时 几乎 永远 不 会 发 生 的 语句 顺序 所 带 
来 的 问题 。 

谓词 转换 器 : 一 种 用 来 蔡 换 模拟 和 解释 的 方法 是 导出 函数 对 其 调用 者 的 需求 。Dijkstra 
引入 了 一 种 最 弱 前 置 条 件 的 概念 ， 这 个 概念 源 自 一 个 使 用 谓词 转换 器 的 程序 。 程 序 的 最 弱 前 
团 条 件 是 对 程序 调用 者 的 一 组 最 少 的 需求 ， 这 些 需 求 是 实现 最 终 状 态 所 必需 的 。 程 序 中 的 语 
名 可 以 视 为 是 对 后 置 条 件 执行 转换 。 从 程序 中 的 最 后 一 条 语句 开始 倒退 处 理 到 第 一 条 语句 ， 
程序 所 需 的 后 置 条 件 被 转换 为 该 程序 要 成 功 实 现 所 需 的 前 置 需求 。 

模型 检查 ; 对 于 临时 性 的 安全 属性 ， 比 如 “内 存 应 该 只 释放 一 次 ”以 及 “应 该 只 有 非 空 
萌 针 才能 被 解除 引用 ”， 可 以 很 容易 地 将 所 检查 的 属性 表示 为 一 个 小 型 的 有 限 状态 自动 机 。 
模型 检查 方法 将 此 属性 当成 一 种 规范 ， 同 时 将 待 检查 程序 转换 为 一 种 模型 ， 此 后 对 比 上 述 规 
范 与 模型 。 


3. 全 局 分 析 


忽略 问题 是 最 简单 的 全 局 分 析 方 法 ， 另 外 ， 如 果 一 次 检查 程序 中 的 一 个 函数 ， 则 假设 
所 有 存在 的 问题 都 会 自我 证 明 。 这 对 许多 安全 问题 来 说 显然 是 个 错误 假设 ， 而 对 于 那些 与 
表示 法 和 输入 验证 有 关 的 问题 ， 由 于 识别 它们 常常 是 要 求 跨 函 数 边界 来 检查 的 ， 这 种 假设 
更 不 可 取 。 

整个 程序 分 析 则 是 最 复杂 的 全 局 分 析 方法 ， 其 目的 是 以 完全 了 解 程序 调用 函数 上 下 文 环 
境 为 基础 ， 对 各 个 函数 进行 分 析 。 另 外 ， 从 概念 上 讲 ， 直 接 插入 也 算 一 种 进行 整个 程序 分 析 
的 简单 方法 ， 该 方法 以 被 调用 函数 的 定义 代替 程序 中 的 各 个 函数 的 调用 。 另 一 种 方法 也 是 一 
种 可 能 的 办 法 ， 这 种 方法 涉及 使 用 一 种 基于 堆栈 的 分 析 模型 。 不 管 采用 什么 技术 ， 整 个 程序 
分 析 将 要 求 大 量 的 时 间 开 销 和 /或 内 存 开销 。 

利用 本 地 分 析 算 法 来 创建 函数 摘要 则 是 一 种 更 灵活 的 全 局 分 析 方法 。 利 用 该 方法 ， 当 本 
地 分 析 算 法 遇见 一 个 函数 调用 时 ， 将 把 函数 摘要 作为 函数 的 奉 代 来 使 用 。 函 数 的 摘要 可 能 会 
极其 精确 或 者 极其 模糊 ， 这 就 使 得 摘要 生成 和 存储 算法 在 精确 度 和 可 扩展 性 之 间 进 行 折 中 变 
得 可 行 。 函 数 摘要 可 能 既 包含 调用 上 下 文 环境 必须 满足 的 需求 ， 又 包含 该 函数 返回 时 对 调用 
上 下 文 环境 所 带 来 的 影响 。 
4.3.3 ”规则 


就 算 不 比分 析 算 法 和 工具 所 实现 的 启发 式 方法 更 重要 ， 定 义 了 安全 工具 应 该 报告 些 什么 
的 规则 起 码 也 和 前 两 者 同等 重要 。 分 析 算法 有 时 还 可 能 由 错误 的 “ 因 ” 获 得 正确 的 “ 果 ”， 
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但 分 析 工 具 永 远 也 不 会 报告 超出 规则 集 范围 的 问题 。 

早期 的 安全 工具 有 时 会 通过 计算 每 个 工具 默认 情况 下 打包 进来 的 规则 数量 ， 对 工具 进行 
简单 比较 。 最 近 的 静态 分 析 工 具 就 更 难 比较 了 。 多 个 规则 可 能 会 一 起 起 作用 检测 一 个 问题 ， 
而 单条 规则 可 能 会 指出 抽象 接口 或 者 根据 正则 表达 式 来 匹配 方法 名 称 。 就 像 代 码 更 多 并 不 总 
是 能 带 来 更 好 的 程序 一 样 ， 更 多 数量 的 规则 并 不 总 是 带 来 更 好 的 静态 分 析 工 具 。 

代码 质量 工具 有 时 会 从 其 分 析 的 代码 来 推断 规则 。 如 果 某 个 程序 在 100 个 不 同 的 位 置 调 
用 同一 个 方法 , 而 在 其 中 99 个 位 置 该 程序 都 注意 了 该 方法 的 返回 值 , 但 仍 会 有 相当 大 的 机 会 
在 那个 剩 下 的 位 置 中 没有 检查 返回 值 。 因 此 ， 这 种 统计 方法 来 推断 规则 并 不 能 很 好 地 适用 于 
对 安全 问题 的 识别 。 如 果 程 序 员 不 了 解 某 种 具体 构造 所 代表 的 安全 风险 ， 那 么 其 代码 可 能 就 
会 在 整个 程序 中 一 律 使 用 这 种 错误 构造 ， 如 果 只 给 出 统计 方法 的 话 ， 这 种 情况 会 造成 100% 
的 漏 报 率 。 

规则 不 仅 用 于 定义 安全 属性 ， 也 会 定义 那些 在 程序 文本 中 未 明确 包含 的 程序 行为 ， 如 该 
程序 使 用 的 任何 系统 或 第 三 方 库 的 行为 。 为 系统 库 和 流行 的 第 三 方 库 创建 并 维护 一 个 优秀 的 
建 模 规则 集合 是 一 项 巨大 的 工作 。 


1. 规则 格式 


在 程序 外 部 实现 检查 代码 所 需 的 规则 是 每 一 个 好 的 静态 分 析 工具 都 会 尽力 实现 的 功能 ， 
因为 如 果实 现 了 该 功能 ， 就 能 在 无 须 更 改 工具 本 身 的 情况 下 修改 、 添 加 或 者 减少 规则 。 最 好 
的 静态 分 析 工 具 会 将 所 有 要 检查 的 规则 都 放 在 外 部 实现 。 除 了 调整 外 部 工具 的 行为 外 ， 外 部 
规则 接口 还 需 让 最 终 让 用 户 添加 检查 规则 来 适应 新 类 型 ， 或 者 以 分 析 程序 语义 的 方式 扩展 现 
有 的 检查 规则 。 

专用 的 规则 文件 : 在 维护 一 份 外 部 文件 时 ， 在 其 中 使 用 一 种 专门 格式 的 描述 规则 ;这样 
做 将 允许 针对 分 析 引 擎 的 能 力 来 定制 规则 的 格式 。 

批注 ， 有时， 以 批注 形式 将 规则 附 在 程序 文本 中 会 收 到 更 好 的 效果 。 如 果 某 些 专门 的 规 
则 决定 着 某 个 具体 模块 的 使 用 ， 将 这 些 规则 直接 放 在 此 模块 中 (或 放 在 此 模块 的 头 文件 中 ) 是 
一 种 不 错 的 方式 ， 通 过 这 种 方式 ， 可 确保 在 此 模块 使 用 的 时 候 应 用 这 些 规则 。 批 注 的 上 下 文 
环境 从 其 周围 的 代码 便 可 看 出 ， 因 此 ， 它 常 比 以 外 部 文件 形式 存在 的 规则 更 简短 。 例 如 ， 批 
注 无 须 详细 说 明 某 个 函数 的 名 字 ， 只 要 在 此 函数 声明 之 前 出 现 即 可 。 

此 外 ， 这 种 批注 形式 也 存在 一 定 的 劣势 。 例 如 ， 若 分 析 人 员 并 不 是 代码 的 维护 者 或 者 所 
有 者 ， 则 很 可 能 不 会 允许 他 们 将 永久 性 的 批注 添加 到 程序 中 。 而 通过 创建 几乎 只 包含 批注 的 
专用 源 文件 并 将 这 些 源 文件 只 用 于 分 析 适 用 的 方式 ， 分 析 者 或 许 能 够 克服 这 类 限制 。 


2. 用 于 污染 传播 的 规则 


使 用 静态 分 析 解 决 污染 传播 问题 需要 各 种 不 同 的 规则 类 型 。 由 于 很 多 安全 问题 可 被 表示 
为 污染 传播 问题 ， 故 这 里 简要 概括 一 下 各 种 污染 传播 规则 的 类 型 ; 

。 源 规 则 定义 了 受 污染 的 数据 进入 系统 的 程序 位 置 。 

e 接收 器 规则 定义 了 不 应 该 接受 受 污染 数据 的 程序 位 置 。 

。 传递 规则 定义 了 函数 操纵 受 污染 数据 的 方式 。 

。 净化 规则 是 传递 规则 的 一 种 形式 ， 用 于 从 一 个 变量 中 移 除 污染 。 净 化 规则 用 于 表示 
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输入 验证 函数 。 
e 入 口 点 规则 与 源 规则 类 似 ， 在 这 里 ， 将 污染 引入 到 程序 中 ， 但 入 口 点 规则 不 是 在 程 
序 中 函数 调用 的 位 置 引入 污染 ， 而 是 由 攻击 者 调用 函数 的 时 候 引 入 污染 。 

在 最 简单 的 形式 中 ， 污 染 是 一 段 数据 的 一 个 双 态 属性 ， 其 值 要 么 是 已 污染 ， 要 么 是 未 污 
染 。 实 际 上 ， 输 入 法 验证 问题 并 非 这 样 泾 渭 分 明 。 输 入 会 由 于 某 些 意图 而 受到 信任 ， 也 会 由 
于 其 他 原因 而 不 被 信任 。 为 表示 这 样 一 种 事实 ， 可 将 各 种 受 污 染 的 数据 作为 各 种 污染 的 载体 
来 建 模 。 污 染 标 记 可 用 各 种 方式 来 应 用 。 

首先 ， 不 同 的 源 规则 会 引入 带 有 不 同 污染 标记 的 数据 。 来 自 网 络 的 数据 可 能 被 标 为 
FROM_NETWORK, 而 来 自 一 个 配置 文件 的 数据 可 能 被 标 为 FROM_CONFIGURATION。 如 
果 这 些 污染 标记 能 带 入 到 静态 分 析 的 输出 中 ， 那 么 这 些 信息 将 允许 审计 人 员 根 据 非 受信 数据 
来 源 而 对 输出 进行 优先 级 排序 。 

其 次 ， 接 收 器 函数 只 有 在 带 有 某 种 污染 的 数据 到 达 时 才 是 危险 的 。 只 有 当 接收 到 任意 可 
被 用 户 控制 的 数据 时 , 跨 站 点 脚本 执行 接收 器 才 是 存在 漏洞 的 , 而 如 果 只 收 到 数值 数据 的 话 ， 
就 不 会 有 漏洞 。 

源 规则 、 接 收 器 规则 以 及 传递 规则 会 以 一 种 追加 或 者 删 减 的 方式 来 操纵 污染 。 在 采用 删 
减 方式 的 情况 下 ， 源 规则 引入 的 数据 可 能 携带 所 有 需要 关注 的 污染 标记 。 给 定 其 所 执行 的 验 
证 类 型 ， 采 用 传递 规则 建 模 的 输入 验证 函数 会 去 除 适 当 的 污染 标记 。 接 收 器 规则 会 基于 受 污 
染 数据 来 检查 危险 的 操作 ， 或 者 ， 如 果 仍 然 存 在 那些 污染 标记 的 话 ， 接 收 器 规则 还 会 检查 那 
些 逃 脱 应 用 层 或 者 触发 器 检查 的 受 污 染 数据 。 在 采用 追加 方式 的 情况 下 ， 源 规则 以 一 般 的 方 
式 引 入 受 污染 的 数据 ， 而 输入 验证 函数 基于 它们 所 执行 的 验证 类 型 来 追加 污染 标记 ， 验 证 跨 
站 点 脚本 执行 攻击 的 函数 会 追加 一 个 VALIDATED _XSS 标记 。 接 收 器 规则 扮演 着 和 采用 减 
去 方式 情况 时 一 样 的 角色 ， 当 在 一 个 不 带 有 适当 污染 标记 的 自 变量 参数 上 执行 危险 操作 时 ， 
或 者 在 数据 没有 必要 的 污染 标记 的 情况 下 离开 应 用 层 的 时 候 ， 会 触发 这 类 规则 。 


4.3.4 报告 结果 


大 多 数学 术 研究 工作 所 投资 的 静态 分 析 工 具 ， 都 将 精力 花 在 了 创造 新 方法 来 识别 缺陷 方 
面 。 但 是 ， 当 某 个 工具 真正 面临 着 投入 实际 使 用 的 时 候 ， 该 工具 报告 结果 的 方式 对 于 此 工具 
所 提供 的 价值 具有 重要 的 影响 。 静 态 分 析 工 具 的 用 户 倾向 于 使 用 术语 “ 误 报 ” 来 指 那些 可 能 
出 现在 标题 “ 非 期 望 的 结果 ”之 下 的 东西 。 尽 管 这 并 非 我 们 所 使 用 的 定义 ， 但 我 们 当然 理解 
这 种 倾向 。 从 用 户 角度 看 ， 并 不 关心 底层 分 析 算 法 的 品质 多 么 优良 。 如 果 你 不 能 理解 这 个 工 
具 告 诉 了 你 什么 ， 这 个 结果 就 是 没有 用 的 。 从 这 种 意义 上 讲 ， 从 糟糕 的 表示 法 中 可 以 很 容易 
地 产生 出 糟糕 的 结果 ， 就 如 同 从 分 析 错 误 中 产生 出 的 结果 一 样 粮 糕 。 

以 用 户 能 预测 结果 潜在 影响 的 方式 提供 结果 ， 这 是 分 析 工 具 的 部 分 任务 。 像 跳 转 到 定义 
这 样 的 简单 代码 导航 功能 也 是 很 重要 的 。 如 果 一 个 静态 分 析 工具 可 作为 程序 员 集成 开发 环境 
中 的 插件 来 运行 的 话 ， 对 每 个 人 都 有 好 处 : 程序 员 熟 悉 代码 导 航 设 置 ， 而 静态 分 析 工 具 开发 
人 员 不 必 彻 底 重 做 代码 浏览 功能 。 

审计 人 员 如 果 想 要 管理 工具 的 输出 ， 那 么 要 求 该 工具 至 少 具备 3 种 功能 : 

1) 将 所 报告 的 结果 进行 分 类 并 分 组 ; 

2) 消除 所 报告 的 结果 中 非 预 期 的 部 分 
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3) 对 所 报告 结果 的 意义 进行 解释 。 
1. 将 所 报告 的 结果 进行 分 类 并 分 组 


如 果 用 户 能 以 一 种 灵活 的 方式 对 所 报告 的 结果 进行 分 类 并 分 组 ， 那 么 ， 所 报告 结果 中 的 
大 量 非 预期 成 分 通常 能 够 被 消除 ， 因 而 不 必 再 对 每 一 个 问题 逐一 进行 审查 。 例 如 ， 如 果 所 分 
析 的 程序 从 一 个 可 信 的 文件 中 获取 某 些 输入 ， 那 么 ， 用 户 将 可 通过 消除 那些 假定 此 文件 不 可 
信 的 条 件 下 所 产生 的 所 有 结果 ， 从 而 从 对 结果 的 审查 中 获 益 菲 浅 。 
于 静态 分 析 工 具 会 生成 大 量 结果 ， 而 如 果 这 些 结果 以 一 种 分 级 次 序 提供 ， 使 得 最 重要 
的 结果 最 可 能 出 现在 审查 的 初期 ， 将 更 有 益 于 用 户 的 分 析 。 静 态 分 析 工 具有 两 种 将 结果 分 级 
的 维度 。 假 定 此 工具 不 会 犯错 ， 那 么 严重 性 将 给 出 所 发 现 问 题 的 重要 性 。 例 如 ,缓冲 区 溢出 
通常 就 是 一 种 比 释 放空 指针 应 用 更 严重 的 安全 问题 。 可 信 度 给 出 了 一 种 对 所 找 出 问题 的 可 能 
性 进行 评价 的 标准 。 通 常情 况 下 ， 为 实现 某 个 结果 ， 工 具 必 须要 做 的 假定 越 多 ， 那 么 这 个 结 
果 的 可 信 度 就 越 低 。 要 创建 一 种 分 级 ， 分 析 工具 必须 对 每 个 结果 组 合 使 用 严重 性 和 可 信 度 得 
分 来 进行 判定 。 典 型 情况 下 ， 严 重 性 和 可 信 度 可 进一步 压缩 为 一 种 关于 重要 性 的 简单 的 非 连 
续 范围 ， 如 关键 (CD)、 高 (CD、 中 (MD 以 及 低 (CD)。 这 为 审计 人 员 提 供 了 对 其 工作 进行 优先 级 排 
序 的 一 种 简便 方法 。 

2. 消除 所 报告 的 结果 中 非 预 期 的 部 分 

对 非 预期 的 结果 进行 审查 令 人 不 感 兴趣 ， 而 对 同一 个 非 预 期 的 结果 进行 多 次 审查 简直 让 
人 疲 备 不 堪 。 对 输出 结果 进行 抑制 是 任何 一 个 高 级 静态 分 析 工 具 必 备 的 机 制 ， 只 有 这 样 ， 已 
经 报告 过 的 问题 在 后 续 分 析 中 将 不 会 重复 进行 报告 。 如 果 这 个 系统 比较 好 的 话 ， 抑 制 信息 将 
会 带 到 将 来 由 同一 代码 库 生 成 的 版 本 中 。 同 样 ， 审 计 人 员 也 应 该 能 够 共享 和 合并 抑制 信息 ， 
这 样 多 个 人 就 不 需要 对 同一 个 问题 进行 审计 。 

用 户 应 该 能 够 关闭 整个 属于 警告 的 类 别 ， 但 他 们 仍 需 逐一 消除 错误 。 许 多 工具 都 允许 使 
用 编译 指示 或 者 代码 批注 来 抑制 结果 。 但 是 ， 如 果 执 行 代码 审查 的 人 没有 修改 代码 的 权限 ， 
那么 就 需要 有 一 种 抑制 信息 在 代码 之 外 保存 的 方式 ,一 种 可 能 的 方法 就 是 仅 保存 代码 文件 名 、 
问题 所 在 的 行 号 以 及 问题 类 型 。 这 种 方法 的 问题 是 ， 即 使 是 对 文件 的 一 次 小 小 的 改动 ， 也 会 
引起 所 有 行 号 的 偏 移 ， 从 而 会 使 所 保存 的 这 种 抑制 信息 失效 。 通 过 将 行 号 信息 保存 为 从 所 在 
函数 的 开始 位 置 的 偏 移 量 ， 或 者 是 从 最 近 标 记 的 语句 开始 的 偏 移 量 ， 可 以 减轻 这 种 方法 存在 
的 问题 。 如 果 结 果 中 包含 程序 中 跟踪 的 信息 而 不 仅 是 一 个 行 号 , 那么 第 二 种 方法 就 尤其 有 用 。 
这 种 方法 基于 组 成 结果 跟踪 轨迹 的 程序 构造 为 结果 生成 一 个 标识 符 ， 其 中 包括 函数 和 变量 的 
名 称 、 相 关 的 部 分 控制 流 图 以 及 与 确定 结果 有 关 的 所 有 规则 的 标识 符 。 

3. 对 所 报告 结果 的 意义 进行 解释 

人 工 测试 出 来 的 优秀 bug 报告 应 包括 问题 描述 、 关 于 此 问题 会 影响 到 谁 、 解 释 为 什么 它 
重要 以 及 要 再 现 此 问题 所 需 的 步骤 。 但 就 算是 优秀 的 bug 报告 有 时 也 会 送 回 标 有 “不 能 再 现 ” 
或 “不 是 问题 ”的 内 容 。 当 出 现 这 种 情况 时 ， 测 试 人 员 会 再 次 尝试 解释 这 种 情况 。 静 态 分 析 
工具 不 会 进行 再 次 尝试 ， 因 此 他 们 必须 在 第 一 次 的 时 候 就 做 出 一 种 有 效 的 论证 。 由 于 程序 员 
可 能 不 能 立即 理解 所 发 现 问题 的 安全 衍生 意义 。 这 种 情况 下 ， 发 现 出 来 的 这 种 问题 可 能 难以 
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吸引 未 经 培训 者 的 眼球 ， 但 实际 上 却 会 很 容易 被 攻击 者 挖掘 出 来 。 因 此 ， 静 态 分 析 工 具 必须 
能 够 对 其 所 报告 结果 的 意义 进行 解释 并 对 潜在 的 安全 隐患 进行 预测 。 


4.4 ”静态 分 析 中 的 常见 问题 


4.4.1 ”处 理 输入 


开发 人 员 所 能 采用 的 最 重要 防范 措施 是 验证 应 用 程序 所 接收 的 全 部 输入 。 输 入 验证 和 表 
示 方 法 是 最 重要 的 ， 因 为 不 检测 输入 或 者 不 能 够 正确 地 检测 输入 会 导致 某 些 恶 意 攻击 ， 包 括 
缓冲 区 溢出 、SQL 注入 攻击 以 及 其 他 许多 攻击 。 

程序 员 最 有 资格 确定 在 他 们 的 应 用 程序 中 哪 种 输入 才 是 合法 有 效 的 。 这 种 判断 在 需要 依 
赖 正确 输入 来 产生 正确 结果 的 情况 下 显得 更 加 重要 。 程 序 员 可 能 不 能 够 确定 所 接收 到 的 所 有 
输入 是 否 都 是 正确 的 ， 却 可 以 保证 它们 不 具有 明显 的 错误 。 不 要 期 望 所 有 输入 都 具有 正确 的 
格式 ， 更 不 要 因为 某 个 输入 的 来 源 似乎 是 可 靠 的 或 者 安全 的 ， 就 完全 相信 它 。 不 要 因为 某 个 
输入 是 由 你 所 编写 的 程序 代码 来 生成 的 就 相信 它 ; 你 的 应 用 程序 也 许 是 从 某 个 不 太 可 信 的 来 
源 接收 到 这 个 输入 ， 或 者 这 个 可 信 来 源 本 身 就 受到 安全 威胁 。 当 输入 验证 程序 确定 输入 存在 
问题 时 ， 应 当 拒 绝 接受 输入 ， 不 要 尝试 纠正 问题 然后 继续 接受 输入 。 简 而 言 之 ， 怀 疑 所 处 理 
的 一 切 输入 ， 无 论 如 何 ， 保 证 应 用 程序 的 安全 是 首要 任务 。 

程序 员 不 得 不 接收 用 户 的 输入 ， 但 又 不 能 够 相信 输入 ， 因 此 严格 检测 输入 并 验证 其 正 
确 性 ， 将 输入 的 值 限定 在 某 个 能 够 接受 的 范围 内 才 是 明智 的 做 法 。 这 个 过 程 ， 通 常 称 为 输 
入 验证 。 

1. 验证 内 容 

许多 应 用 程序 接收 多 个 来 自 于 不 同 来 源 的 数据 ， 并 利用 这 些 数据 进行 各 种 运算 操作 。 无 
论 最 初 是 从 应 用 程序 的 外 部 读 取 数 据 ， 还 是 在 具体 安全 环境 中 使 用 这 些 数据 ， 输 入 验证 都 在 
软件 安全 性 中 扮演 了 重要 角色 。 本 节 讨 论 输入 验证 的 两 个 方面 :需要 验证 的 输入 的 种 类 、 依 
赖 于 验证 后 输入 的 操作 的 种 类 。 


1) 验证 所 有 输入 

本 节 的 核心 思想 是 : 验证 所 有 输入 数据 。 仔 细 思 考 这 个 问题 ， 我 们 不 要 认为 只 有 用 户 从 
输入 界面 输入 的 数据 才 是 输入 数据 ， 而 要 将 输入 数据 的 范围 定义 得 更 广泛 一 些 。 另 外 ， 如 果 
一 个 应 用 程序 包括 多 个 过 程 ， 则 每 个 过 程 的 输入 数据 都 需要 进行 验证 ， 即 使 该 输入 数据 来 自 
于 同一 程序 的 其 他 过 程 也 同样 如 此 。 再 次 ， 即 使 输入 数据 是 通过 一 个 安全 连接 传递 过 来 的 
或 者 访问 应 用 程序 的 用 户 只 能 是 可 信用 户 ， 也 要 对 其 进行 验证 。 最 后 ， 来 自 操作 系统 环境 的 
输入 数据 也 不 能 轻易 相信 ， 这 其 中 当然 包括 路 径 名 称 和 注册 表 值 。 应 用 程序 执行 的 每 次 验证 
都 拒绝 了 攻击 方 的 一 次 攻击 机 会 ， 并 增加 了 自己 的 安全 系数 。 

如 果 已 经 确定 应 用 程序 的 逻辑 和 功能 ， 则 可 将 输入 验证 程序 分 为 两 个 主要 部 分 : 语法 检 
查 和 语义 检查 。 前 者 主要 检测 输入 格式 正确 与 否 ， 它 通常 可 以 远离 应 用 程序 的 逻辑 部 分 ， 紧 
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接着 数据 输入 模块 执行 ， 后 者 主要 确定 输入 恰当 与 否 ， 由 于 与 逻辑 密切 相关 ， 它 通常 紧 靠 着 
应 用 程序 的 逻辑 部 分 。 

在 编写 应 用 程序 时 ， 要 达到 如 下 目的 : 如 果 这 个 应 用 程序 将 来 由 其 他 程序 员 来 维护 ， 在 
不 扩展 验证 逻辑 以 覆盖 新 输入 点 的 情况 下 ， 后 来 的 程序 员 无 法 或 者 很 难 在 应 用 程序 中 添加 一 
个 新 输入 点 。 输 入 验证 逻辑 程序 应 该 要 求 应 用 程序 将 所 有 的 输入 数据 都 传递 进来 并 且 拒 绝 所 
有 未 通过 验证 的 输入 。 


2) 验证 各 种 来 源 的 输入 

不 要 将 软件 的 安全 寄托 在 配置 、 使 用 和 维护 人 员 的 敏锐 理解 力 、 深 刻 洞察 力 或 良好 意愿 
上 。 安 全 不 仅 需要 验证 用 户 输入 ， 还 需要 验证 所 有 来 自 软件 之 外 的 输入 。 这 些 输入 应 当 包括 
下 列 内 容 ， 但 并 非 局 限于 此 : 命令 行 参数 、 配 置 文件 、 环 境 变量 、 注 册 表 值 、 数 据 库 查询 、 
临时 文件 。 

常会 有 一 些 开 发 人 员 不 愿 对 各 种 来 源 的 输入 都 进行 验证 ， 他 们 的 理由 是 : “我 并 不 认为 
会 有 人 从 这 些 地 方 来 攻击 我 的 程序 ， 为 什么 我 必须 要 耗费 这 个 多 时 间 和 精力 来 编写 这 些 输入 
验证 程序 ， 以 保证 软件 的 安全 呢 ? ”这 种 态度 显然 会 导致 软件 的 一 些 盲点 ， 使 得 软件 易于 受 
到 攻击 。 目 光 短 浅 的 程序 员 也 许 会 想 : “如 果 攻击 者 已 经 具备 修改 系统 性 能 参数 的 能 力 ， 就 
已 经 达到 目的 了 。” 实 际 上 ， 攻 击 者 可 以 很 轻易 地 找到 方法 略微 改变 一 下 系统 文件 或 者 某 个 
脚本 ， 或 者 也 可 以 伪造 出 一 个 真实 的 配置 错误 。 无 论 哪 一 种 情况 ， 缺 乏 输入 验证 都 是 成 为 攻 
击 者 攻破 整个 系统 的 途径 。 并 非 所 有 的 输入 都 是 相同 的 。 对 于 来 自 配 置 文件 的 输入 所 进行 的 
验证 往往 不 同 于 对 用 户 输入 所 进行 的 验证 。 但 无 论 来 源 如 何 ， 所 有 输入 都 至 少 应 当 进行 一 至 
性 验证 和 语法 验证 。 

2. 验证 方法 

一 旦 确定 在 应 用 程序 中 的 哪些 地 方 需要 进行 输入 验证 ， 就 必须 确定 选择 哪 种 策略 来 完成 
验证 。 

e 使 用 强 输 入 验证 

进行 输入 验证 的 最 好 方法 就 是 根据 一 系列 已 知 的 正确 值 来 检验 输入 。 正 确 值 输入 验证 法 
并 不 尝试 检验 某 些 特定 的 错误 值 。 这 就 类 似 于 一 个 需要 邀请 函 才能 参加 的 晚会 。 如 果 需 要 保 
证 只 有 收 到 邀请 的 客人 才能 入 场 ， 最 好 的 方法 就 是 开 列 一 个 客人 清单 ， 并 且 在 入 门 时 核对 。 
干 万 不 要 试图 列 出 一 个 没有 被 邀请 人 员 的 清单 来 进行 校 验 。 

通过 已 知 正确 值 的 清单 来 进行 输入 检验 称 为 白 名 单 法 。 当 可 能 输入 的 集合 比较 小 时 ， 可 
以 使 用 间接 选择 来 确保 不 能 绕 过 白 名 单 。 当 进行 输入 验证 时 ， 间 接 选 择 是 首选 方法 。 最 差 的 
方法 是 黑 名 单方 法 ， 尝 试 枚 举 所 有 的 不 能 接受 的 输入 值 。 

1) 间接 选择 : 一 般 来 说 , 应 用 程序 所 能 容忍 的 意外 输入 的 次 数 越 少 , 其 安全 性 也 会 越 高 。 
因此 ， 利 用 一 个 间接 输入 层 进行 输入 验证 应 该 算是 最 好 方式 ， 列 出 一 个 包含 所 有 合法 有 效 数 
据 的 清单 ， 并 且 只 允许 用 户 提供 包含 在 该 清单 中 的 特定 索引 值 。 通 过 这 种 方法 ， 应 用 程序 罗 
辑 就 不 需要 直接 面 对 用 户 提供 的 输入 ， 而 只 需 验证 用 户 是 否 提供 了 一 个 合法 的 索引 。 虽 然 这 
种 输入 验证 方式 有 点 脱离 实际 ， 但 当 用 户 需要 从 很 多 值 中 做 出 选择 时 ， 这 是 最 理想 的 方式 。 
利用 值 选 择 法 可 以 保护 数据 。 可 消除 任何 直接 使 用 输入 数据 的 企图 。 
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2) 白 名 单 法 : 由 于 合法 值 范围 太 过 广泛 ， 所 以 问 接 法 在 许多 情况 下 是 不 可 行 的 。 这 种 情 
况 下 ， 最 好 创建 一 个 合法 输入 值 的 白 名 单 ， 并 通过 其 中 的 选项 组 合生 成 有 效 输 入 。 与 间接 法 
不 同 ， 输 入 值 可 以 任意 方式 组 合 而 成 ， 从 而 使 有 效 输入 的 范围 大 大 扩大 ， 而 不 仅 限于 一 个 预 
定 的 范围 ， 例 如 ， 可 通过 数字 和 标点 符号 的 集合 来 组 成 任意 电话 号 码 。 间 接 法 和 白 名 单 法 以 
同样 的 处 理 方式 来 对 待 意外 输入 : 拒绝 接收 。 这 两 种 方法 都 只 接收 确认 合法 有 效 的 输入 。 如 
果 需 要 应 用 程序 接收 某 个 新 的 值 或 者 字符 , 必须 要 重新 更 改 这 些 验 证 逻辑 程序 以 便 接 收 新 值 。 
和 否则， 这 些 值 只 会 被 拒绝 。 

。 避免 黑 名 单 法 

黑 名 单 法 是 当 采 用 白 名 单 法 无 法 轻松 实现 时 的 第 二 选择 。 它 有 选择 性 地 拒绝 或 者 逃避 淤 

在 的 危险 输入 值 或 者 序列 ， 也 就 是 说 黑 名 单 法 只 拒绝 那些 已 知 恶意 的 数据 。 由 于 在 给 定 环境 
中 ,恶意 值 的 集合 一 般 难 以 枚 举 ， 甚 至 可 能 是 无 限 的 ， 这 就 使 得 黑 名 单 法 是 不 完善 的 。 总 之 ， 
黑 名 单 法 是 不 利于 应 用 程序 安全 的 。 
黑 名 单 法 具有 明显 的 危害 性 ， 因 为 它 也 许可 以 很 好 地 防范 某 些 基 本 的 攻击 行为 ， 例 如 阻 
止 攻击 者 通过 HTML 文件 中 的 <scripP> 标 记 来 进行 攻击 ， 从 而 使 得 开发 人 员 陷入 一 种 虚假 的 
安全 感 中 ， 但 当 进行 各 种 试探 性 攻击 时 ， 这 种 方法 往往 起 不 到 防范 作用 。 如 果 程 序 员 用 一 个 
简单 的 攻击 实例 来 测试 一 个 易 受 攻击 的 Web 站 点 ， 当 攻击 失败 时 ,他 会 误 认 为 这 个 站 点 是 安 
全 的 ， 但 实际 上 ， 并 不 是 这 样 。 攻 击 者 所 需要 做 的 事情 就 是 ， 确 定 哪些 字符 没有 列 于 黑 名 单 
中 ， 或 者 使 用 其 他 适当 的 编码 方式 来 完全 绕 过 黑 名 单 验证 。 

实际 上 ， 当 输入 经 过 验证 后 又 要 进行 变换 时 ， 黑 名 单 法 通常 都 是 失败 的 。 通 过 解压 缩 、 
解码 、 改 变 字符 集 、 和 剥离 多 层 编 码 或 者 通配符 扩展 等 操作 ， 都 可 以 改变 输入 的 含义 。 

e 不 要 混淆 可 用 性 和 安全 性 

不 要 将 应 用 程序 为 了 可 用 性 目的 而 执行 的 验证 , 和 为 了 安全 目的 所 进行 的 输入 验证 混 为 一 
谈 。 出 于 用 户 界面 友好 目的 而 进行 的 输入 验证 ， 通 常 是 为 了 在 合法 用 户 犯 错时 捕获 常见 错误 ， 
提供 易于 理解 的 反馈 。 为 安全 目的 进行 的 输入 验证 是 为 了 处 理 非 同 寻常 的 、 不 友好 的 输入 。 

。 拒绝 不 良 数 据 

有 些 程序 员 试图 修复 某 些 已 经 验证 失败 的 输入 类 型 。 如 果 用 户 遗 漏 了 某 个 必须 输入 的 字 
段 ， 可 以 设置 一 个 默认 值 ; 超出 最 大 长 度 限制 的 口令 字段 可 以 截断 ; 输入 字段 值 的 JavaScript 
程序 可 代 之 以 转 义 字符 。 不 要 试图 修复 未 通过 输入 验证 的 输入 。 相 反 ， 要 坚定 不 移 地 拒绝 接 
收 这 种 输入 。 

输入 验证 本 身 就 是 一 个 复杂 的 主题 ， 但 在 程序 中 既 有 执行 输入 验证 的 代码 ， 又 挫 杂 着 自 
动 纠正 输入 错误 的 代码 ， 当 数据 以 多 种 方式 编码 或 者 可 以 分 层 或 者 嵌 套 编码 时 尤其 如 此 ， 那 
程序 的 复杂 性 就 会 呈 爆 炸 性 地 增长 。 用 于 自动 纠 错 的 程序 可 能 会 改变 输入 数据 的 本 意 ， 或 者 
使 得 用 于 验证 输入 的 逻辑 程序 受到 影响 。 

如 果 攻 击 者 想 要 输入 列 于 黑 名 单 的 某 个 单词 ， 怎 么 办 呢 ? 当然 ， 选择 男 一 个 没有 出 现在 黑 
名 单 中 的 单词 是 一 个 不 错 的 选择 ， 但 如 果 不 使 用 某 个 列 于 黑 名单 中 的 词 就 不 能 够 正确 表达 意 
图 ， 又 该 怎么 办 呢 ? 比较 简单 的 方法 是 ， 将 一 个 列 于 黑 名 单 中 的 词 插入 到 需要 输入 的 单词 中 。 
例如 ， 这 个 纠 错 程序 正好 可 以 将 输入 “bastpruntich” 纠 正 为 “bastich”。 在 这 种 自动 纠 错 的 应 
用 程序 中 ， 不 能 正确 处 理 这 种 多 层 编 码 的 输入 是 常见 错误 ， 而 且 可 能 导致 严重 后 果 。 

不 能 为 攻击 者 将 某 个 输入 转换 成 另 一 个 输入 。 直 接 拒 绝 没 有 通过 输入 验证 的 数据 。 当 考 
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虑 是 否 需 要 在 输入 验证 程序 中 加 入 数据 纠正 功能 时 , 先 问 问 自己 , 谁 可 能 提供 这 些 不 良 输入 。 
从 安全 角度 看 , 存在 两 种 可 能 : 偶然 失误 的 用 户 或 者 故意 试图 破坏 规则 的 攻击 者 。 对 于 前 者 ， 
合法 用 户 可 能 比较 赞成 应 用 程序 指出 错误 输入 以 引起 他 们 的 注意 ， 并 且 人 允许 他 们 纠正 自己 的 
错误 ， 以 免 将 来 再 犯 同样 的 错误 。 对 于 攻击 者 ， 需 要 记 住 ， 无 需 为 试图 破坏 应 用 程序 正常 运 
行 的 输入 数据 忙碌 。 

。 默认 执行 正确 的 输入 验证 

无 论 使 用 何 种 编程 语言 ， 用 于 接收 输入 的 标准 方法 都 没有 提供 一 个 内 置 输入 验证 功能 。 
这 意味 着 ， 每 当 程序 员 需 要 添加 新 的 代码 来 检索 某 种 新 输入 时 ， 都 需要 重新 处 理 整个 输入 验 
证 过 程 。 

不 要 每 次 都 为 输入 验证 问题 重新 编写 一 个 新 的 解决 方法 ， 而 需要 在 应 用 程序 中 清晰 、 一 
致 地 编写 输入 验证 函数 。 这 意味 着 ， 需 要 在 应 用 程序 用 于 获取 输入 的 系统 类 库 的 顶层 编写 一 
个 抽象 层 。 通 过 自己 编写 函数 或 者 方法 层 来 取代 内 置 函 数 ， 可 使 用 程序 默认 执行 正确 的 输入 
验证 。 我 们 将 此 称 为 强 安全 API。 

当 程序 员 使 用 安全 API 时 ， 相 比 直接 调用 内 置 方法 而 言 ， 通 常 需要 提供 更 多 的 参数 。 这 
些 附 加 参数 将 携带 用 于 在 调用 函数 中 执行 正确 的 输入 验证 所 需 的 信息 。 

我 们 不 准备 介绍 这 样 的 输入 数据 过 滤 程 序 ， 可 将 同样 的 准则 用 于 应 用 程序 所 接收 的 任何 
输入 。 绝 大 多 数 情 况 下 ， 只 在 应 用 程序 前 端 提供 的 环境 下 ,很 难 实现 正确 的 语法 和 语义 检查 。 

强 安全 API 提 高 了 以 下 儿 个 方面 的 能 力 : 

1) 对 所 有 的 输入 提供 与 上 下 文 相关 的 输入 验证 。 相 比 每 个 模块 都 单独 实现 自己 的 输入 验 
证 来 说 ， 采 用 这 种 方法 ， 困 难 在 于 建立 一 致 的 输入 验证 策略 。 

2) 理解 并 维护 输入 验证 逻辑 。 输入 验证 是 不 容易 处 理 的 。 多 种 不 同 的 实现 方式 使 得 程序 
需要 执行 的 测试 与 确认 工作 量 大 大 增加 ， 使 得 一 项 本 来 就 很 艰巨 的 任务 变 得 更 加 困难 。 

3) 可 连续 一 致 地 更 新 和 修改 输入 验证 方法 。 当 发 现 输入 验证 逻辑 中 的 错误 时 , 能 否 修 正 
这 些 错误 ?如 果 没有 集中 实现 逻辑 验证 程序 ， 恐 怕 答 案 只 能 是 “我 不 知道 ”。 

4) 始终 如 一 。 如 果 不 默 认 执行 输入 验证 , 程序 员 很 可 能 会 忘记 编写 这 些 程序 。 通过 将 输 
入 验证 作为 标准 处 理 过 程 的 一 部 分 ， 可 保证 应 用 程序 接收 到 的 所 有 输入 都 是 合法 有 效 的 。 

不 要 过 度 重视 通用 性 也 很 重要 : 避免 降低 输入 验证 的 严格 性 来 换取 更 多 的 通用 性 。 只 有 
在 验证 逻辑 程序 功能 强大 到 足以 增强 输入 所 需 的 限制 ， 以 保证 其 在 所 使 用 的 上 下 文 环境 中 足 
够 安全 时 ， 才 能 重复 使 用 验证 逻辑 程序 。 

。 检验 输入 的 长 度 

前 面 的 验证 逻辑 通常 检查 输入 的 长 度 是 否 位 于 一 个 最 小 值 和 最 大 值 之 间 。 长 度 检查 通常 
比较 容易 做 到 ， 因 为 并 不 需要 了 解 输入 的 含义 就 可 以 实现 。 但 需要 注意 的 是 ， 如 果 应 用 程序 
在 处 理 输入 以 前 先进 行 输入 转换 ， 则 输入 还 可 能 会 变 得 过 长 。 

输入 验证 的 最 基本 功能 是 执行 长 度 检查 ， 这 是 其 他 功能 的 前 提 。 在 输入 验证 期 间 ， 最 好 
能 够 尽 可 能 多 地 考虑 应 用 程序 的 上 下 文 环境 。 在 应 用 程序 需要 验证 某 个 输入 字段 时 ， 验 证 人 逻 
辑 如 果 尽 可 能 多 地 了 解 到 这 个 输入 字段 的 合法 值 ， 就 可 以 更 加 严格 地 执行 验证 。 

良好 的 程序 设计 习惯 是 ， 千 万 不 要 将 前 端 验 证 代码 和 业务 逻辑 紧密 地 交叉 混合 在 一 起 。 
这 样 做 的 后 果 就 是 ， 验 证 程序 很 少 能 够 具备 完善 的 上 下 文 关 系 来 最 好 地 验证 输入 。 依 赖 于 应 
用 程序 的 上 下 文 环境 关系 来 区 分 前 端 输 入 验证 和 混杂 在 应 用 逻辑 中 的 验证 检查 ， 但 在 前 端 验 
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证 中 至 少 要 包含 输入 长 度 验证 。 

验证 输入 是 否 超过 长 度 上 限 ， 可 以 使 得 攻击 者 难以 利用 系统 的 其 他 漏洞 。 例 如 ， 如 果 某 
个 输入 字段 可 用 作 跨 站 点 脚本 攻击 的 一 个 部 分 ， 与 只 能 输入 少量 字符 的 攻击 者 相 比 ， 可 以 编 
写 任意 长 度 代码 的 攻击 者 具备 更 大 的 灵活 性 。 通过 检验 输入 的 长 度 是 否 小 于 最 小 输入 长 度 ， 
攻击 者 不 仅 无 法 忽略 必须 输入 数据 的 输入 字段 ， 而 且 不 能 因为 输入 数据 长 度 短 而 导致 数据 
有 效 。 

e 限制 数值 输入 

检查 数值 输入 是 否 介 于 最 大 值 和 最 小 值 之 间 也 是 输入 验证 的 一 部 分 。 应 当 警 惕 某 些 操作 
可 能 传递 超过 最 大 值 和 最 小 值 范围 的 数据 。 

当 攻 击 者 利用 整数 变量 的 有 限 容量 时 ， 我 们 称 之 为 整数 溢出 。 在 C 和 C++ 中 ， 比 较 典 型 
的 方式 是 ， 将 整数 溢出 作为 缓冲 区 溢出 攻击 计划 的 一 个 组 成 部 分 。Java 中 的 整数 溢出 并 不 会 
导致 缓冲 区 溢出 攻击 ， 但 仍 会 导致 其 他 不 良 后 果 。 

避免 整数 溢出 问题 的 最 好 方法 是 , 检验 所 有 的 整数 输入 是 否 都 位 于 上 下 界 范围 内 。 理想 情 
况 下 ， 上 下 界 的 选择 应 当 使 得 任何 后 续 计算 结果 都 不 会 超出 所 使 用 变量 的 容量 限制 。 如 果 这 样 
的 界定 范围 过 于 严格 ， 则 应 用 程序 必须 包括 内 部 检验 以 保证 所 计算 的 数值 不 会 导致 溢出 。 

3. 防止 元 字符 攻击 

允许 攻击 者 控制 发 送 到 数据 库 、 文 件 系 统 、 浏 览 器 或 者 其 他 子 系统 的 命令 ， 会 导致 很 大 
的 灾难 。 绝 大 多 数 程序 员 都 没有 愚蠢 到 故意 给 攻击 者 提供 直接 访问 这 些 子 系统 的 权限 ， 但 是 
因为 接口 设计 的 方式 问题 ， 很 可 能 无 意 中 就 提供 了 这 种 便利 。 

所 有 强调 易于 使 用 或 者 提供 交互 能 力 的 脚本 语言 和 标记 语言 至 少 有 一 点 是 相同 的 ， 它们 
可 以 接收 将 控制 结构 和 数据 随意 结合 在 一 起 的 字符 串 。 

问题 在 于 ， 如 果 程 序 员 不 加 特别 注意 ， 则 可 能 会 提供 添加 、 删 除 或 者 改变 控制 结构 含义 
的 能 力 ， 尽 管 程序 员 的 本 意 只 是 允许 用 户 列举 某 些 特定 数据 ， 这 是 很 不 明智 的 。 攻 击 者 常 通 
过 指定 元 字符 来 利用 这 个 漏洞 实施 攻击 ， 所 谓 元 字符 就 是 在 输入 语言 中 具有 特定 含义 的 字符 
或 者 字符 串 。 事 实 上 ， 通 常 对 于 同一 个 元 字符 存在 多 种 编码 方式 ， 而 且 同一 语言 的 不 同 编程 
方式 ， 可 能 会 接受 不 同 元 字符 或 者 元 字符 的 不 同 编码 ， 这 就 使 得 问题 更 加 复杂 。 

许多 元 字符 问题 都 可 以 采用 同一 种 方法 来 解决 , 即使 用 参数 化 命令 。 本 节 在 此 基础 之 上 ， 
研究 三 种 其 他 类 型 的 元 字符 攻击 : 路径 操 作 、 命 令 行 注入 、 日 志 欺骗 。 

e 使 用 参数 化 请 求 

通过 将 数据 和 控制 信息 分 开 ， 可 以 消除 很 多 元 字符 攻击 漏洞 。 我 们 一 定 要 应 用 好 那些 本 
身 就 拥有 这 种 分 隔 能 力 的 接口 程序 ， 它 们 允许 应 用 程序 提交 作为 参数 值 的 一 系列 数据 或 者 一 
个 参数 化 请 求 。 

e 路 径 操作 

如 果 允 许 用 户 的 输入 可 包含 文件 系统 元 字符 ， 例 如 正 斜 杠 ()、 反 和 斜 杠 Q) 或 者 小 数 点 (.)， 
那么 攻击 者 就 可 以 在 需要 提供 相对 路 径 的 输入 中 指定 一 个 绝对 路 径 ， 或 者 通过 往 上 移动 目录 
树 来 将 文件 系统 移动 到 另 一 个 位 置 。 这 种 未 经 授权 的 文件 系统 访问 称 为 路 径 操纵 。 
e 命令 注入 
如 果 人 允许 通 过 用 户 输入 来 指定 应 用 程序 所 执行 的 系统 命令 ,攻击 者 就 能 在 系统 中 执行 他 
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们 想 要 执行 的 恶意 命令 。 如 果 这 个 输入 可 包含 文件 系统 或 者 外 壳 元 字符 ， 攻 击 者 就 可 以 在 需 
要 输入 相对 路 径 的 地 方 指定 绝对 路 径 ， 或 者 在 应 用 程序 需要 执行 的 命令 后 面 跟随 一 条 恶意 命 
令 。 未 经 许可 的 命令 执行 权限 称 为 命令 注入 攻击 。 

e 日 志 欺 骗 
因为 日 志文 件 对 于 系统 管理 员 和 开发 人 员 都 很 重要 ， 所 以 日 志文 件 也 是 攻击 者 的 目标 。 
如 果 攻 击 者 可 以 控制 写 入 到 日 志文 件 中 的 值 ， 就 可 以 通过 在 所 提供 的 输入 中 包括 虚构 的 日 志 
记录 来 伪造 系统 时 间 。 如 果 因 为 缺少 适当 的 输入 验证 而 使 得 攻击 者 可 将 记录 写 入 到 日 志文 件 
中 ， 则 日 志文 件 的 准确 性 就 受到 了 干扰 或 者 误导 ， 因 而 降低 了 日 志文 件 的 分 析 价 值 。 

稍 好 一 点 的 情况 是 ,攻击 者 也 许 只 是 通过 提供 包含 特殊 字符 的 输入 将 虚假 记录 插入 到 日 
志文 件 。 如 果 自 动 处 理 日 志文 件 , 那么 攻击 者 就 可 通过 改变 日 志文 件 的 格式 来 改写 这 些 文件 。 
设计 更 巧妙 的 攻击 方式 还 可 以 牌 曲 日 志文 件 的 统计 数据 。 

伪造 的 或 者 被 破坏 的 日 志文 件 可 以 用 于 掩盖 攻击 者 的 痕迹 ， 或 者 隐 含 着 另 一 个 恶意 行 
为 。 如 果 日 志文 件 包含 与 安全 相关 的 信息 ， 攻 击 者 可 能 将 日 志文 件 变 为 常见 的 错误 ， 如 果 攻 
击 者 在 日 志文 件 中 写 入 足够 多 的 误 报 ， 使 管理 员 不 再 对 错误 进行 关注 ， 那 么 当真 正 的 警报 产 
生 时 ， 就 不 会 有 人 关注 。 


4.4.2 缓冲 区 溢出 


几乎 任何 一 个 经 常 使 用 计算 机 的 人 都 知道 级 区 溢出 的 大 名 。 在 软件 行业 中 ， 通 党 将 组 
冲 区 灌 出 理解 为 将 大 量 数据 塞 入 到 一 个 较 小 缓冲 区 中 所 导致 的 程序 湄 洞 。 绝 大 多 数 情况 下 
这 是 非常 精 确 的 理解 。 当 应 用 程序 将 数据 写 入 到 所 分 配 的 内 存 区 以 外 时 ， 就 会 发 生 缓冲 区 滋 
出 。 缓 六 区 溢出 漏 油 通常 被 攻击 者 用 于 重 写 内 存 中 的 数据 。 缓 冲 区 溢出 错误 非常 常见 ， 存 在 
涯 洞 的 应 用 程序 往往 会 给 攻击 者 提供 很 大 的 控制 权 。 因 此 ， 绥 冲 区 溢出 成 为 攻击 者 的 常见 攻 
击 目标 并 不 奇怪 。 

1. 组 站 区 溢出 简介 


防止 缓冲 区 溢出 攻击 的 最 佳 方式 是 使 用 强制 执行 内 存 安全 和 类 型 安全 的 编程 语言 。 在 不 
安全 的 编程 语言 中 ， 例 如 最 广泛 使 用 的 C 和 C++ 语言 ， 程 序 员 要 负责 阻止 对 内 存 做 出 不 合 需 
要 的 修改 。 任 何 操纵 内 存 的 操作 都 可 以 导致 缓冲 区 溢出 ， 但 实际 上 ， 最 容易 导致 缓冲 区 溢出 
的 错误 主要 集中 在 一 定 范围 内 的 某 些 操作 中 。 在 详细 介绍 各 种 缓冲 区 溢出 产生 方式 以 前 ， 先 
了 解 一 下 和 典型 的 缓冲 区 溢出 漏洞 利用 方式 。 

e， 利 用 缓冲 区 溢出 漏洞 

为 了 解 缓冲 区 溢出 漏洞 所 带 来 的 风险 ， 需 要 先 了 解 攻击 者 是 如 何 利用 缓冲 区 溢出 漏洞 
的 。 在 一 个 典型 的 堆栈 攻击 中 ， 攻 击 者 向 存在 堆栈 缓冲 区 溢出 漏洞 的 应 用 程序 发 送 包 含 一 段 
恶意 代码 的 数据 。 除 了 在 数据 中 包含 恶意 代码 以 外 ， 攻 击 者 还 在 数据 中 包含 这 段 恶 意 代码 的 
初始 内 存 地 址 。 当 缓冲 区 溢出 攻击 发 生 时 ， 应 用 程序 将 攻击 者 的 数据 写 入 缓冲 区 中 ， 并 且 不 
考虑 缓冲 区 的 上 限 持续 写 入 数据 ， 直 到 以 恶意 代码 的 地 址 重 写 函 数 的 返回 地 址 。 当 这 个 函数 
返回 时 ， 它 直接 跳 转 到 存储 在 返回 地 址 中 的 值 。 正 常情 况 下 ， 应 该 返回 到 调用 函数 ， 但 因为 
返回 地 址 已 经 被 改写 了 ， 程 序 直接 跳 转 到 替代 缓冲 区 ， 继 续 执行 攻击 者 的 恶意 代码 。 为 了 提 
高 推测 出 恶意 代码 正确 地 址 的 可 能 性 ， 攻 击 者 采用 的 典型 攻击 方式 是 在 输入 的 起 始 处 加 上 一 
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段 N( 非 操作 性 ) 指 令 。 

对 缓冲 区 溢出 攻击 最 常见 的 误解 就 是 ， 只 有 当 缓冲 区 位 于 堆栈 上 时 才 可 能 被 利用 。 而 事 
实 并 非 如 此 ， 存 储 在 堆 上 的 重要 数据 同样 可 以 被 基于 堆 的 缓冲 区 溢出 攻击 改写 ， 而 且 应 用 程 
序 控制 流 也 能 被 攻击 者 改变 。 例 如 ， 攻 击 者 可 改写 函数 指针 的 值 ， 当 应 用 程序 调用 这 个 函数 
指针 指向 的 函数 时 ， 就 会 执行 恶意 代码 。 最 后 ， 即 使 攻击 者 不 能 将 恶意 代码 注入 系统 中 ， 一 
种 统称 为 arc 注入 或 者 retum-into-libc 的 利用 技术 , 也 可 以 通过 缓冲 区 溢出 来 改变 应 用 程序 的 
控制 流 。 

。 缓冲 区 分 配 策略 

绝 大 多 数 防止 缓冲 区 溢出 的 策略 都 侧重 于 如 何以 及 何 时 检查 出 某 种 情况 将 会 导致 缓冲 
区 溢出 。 在 讨论 这 些 策略 前 ， 先 考虑 这 种 检查 失败 时 ， 将 会 发 生 什 么 事情 。 其 核心 就 是 内 存 
分 配 问 题 。 如 果 当前 分 配 的 缓冲 区 空间 不 能 满足 操作 所 需 的 缓冲 区 空间 ， 应 用 程序 可 执行 下 
列 两 个 操作 之 一 : 

1) 保持 当前 缓冲 区 大 小 不 变 ， 终 止 整个 程序 或 者 完成 部 分 操作 ; 

2) 动态 分 配 缓冲 区 ， 满 足 操 作 的 缓冲 区 空间 需求 。 

大 型 应 用 程序 通常 总 在 某 些 情况 下 选择 使 用 静态 分 配 ， 而 在 另外 一 些 情 况 下 采用 动态 
分 配 。 程 序 员 需 要 根据 正在 进行 的 任务 来 选择 两 种 方式 之 一 。 无 论 在 特定 的 程序 段 中 采用 
何 种 解决 方式 ， 定 义 一 个 系统 的 、 明 确 的 内 存 分 配方 法 ， 可 以 使 得 无 论 对 于 人 工 或 者 工具 
来 说 ， 检 验 代 码 和 快速 确定 其 安全 性 都 变 得 更 加 容易 。 对 特定 类 型 的 操作 ， 一 定 要 保证 所 
选 解 决 方案 的 一 致 性 。 在 给 定 的 上 下 文 环境 中 ， 要 明确 已 接受 的 缓冲 机 制 ， 使 得 程序 员 、 
审查 员 和 工具 软件 都 能 明白 预期 的 反应 ， 并 能 更 好 确定 无 意 中 产 生 的 错误 。 一 致 性 使 得 错 
误 更 容易 被 发 现 。 

1) 静态 缓冲 区 分 配 : 在 静态 缓冲 区 分 配 机 制 中 , 缓冲 区 中 的 内 存 是 一 次 性 分 配 的 , 并且 
这 个 缓冲 区 在 存储 期 间 一 直 保持 初始 分 配 的 大 小 。 这 种 方法 的 最 大 好 处 就 是 简单 。 因 为 缓冲 
区 在 整个 生存 期 内 都 保持 同样 的 大 小 ， 所 以 程序 员 易 于 了 解 缓冲 区 的 大 小 ， 并 能 确定 在 其 中 
执行 的 操作 是 否 安全 。 给 一 个 缓冲 区 只 分 配 一 次 内 存 简化 了 缓冲 区 的 操作 代码 ， 便 于 人 工 和 
自动 代码 审查 。 尽 管 静态 分 配方 法 易于 操作 , 但 同时 它 也 有 弱点 。 因 为 在 应 用 程序 编译 以 前 ， 
程序 员 必 须 为 每 个 缓冲 区 选 定 最 大 长 度 , 所 以 静态 分 配 缓冲 区 的 应 用 程序 自然 就 缺少 灵活 性 。 
在 静态 分 配 机 制 中 ， 当 缓冲 区 过 小 而 不 能 满足 输入 数据 的 要 求 时 ， 唯 一 的 选择 就 是 拒绝 执行 
操作 ， 或 者 截断 数据 并 返回 一 个 错误 消息 。 数 据 截断 操作 可 能 引起 大 量 难以 捕捉 的 逻辑 和 表 
达 错 误 ， 其 严重 性 根据 情况 发 生 的 环境 而 定 。 静 态 固 定 大 小 缓冲 区 的 另 一 个 副作用 是 ， 当 组 
冲 区 所 需 的 最 大 字 节 数 远 远大 于 所 使 用 的 平均 容量 时 ， 存 在 潜在 的 资源 浪费 。 例 如 ， 一 个 处 
理 电 子 邮件 的 应 用 程序 需要 分 配 一 个 足够 大 的 缓冲 区 , 以 便 能 容纳 最 大 的 有 效 电子 邮件 地 址 ， 
虽然 在 绝 大 多 数 情况 下 这 些 地 址 都 没有 那么 长 。 在 大 型 应 用 程序 中 ， 当 许多 缓冲 区 都 是 部 分 
填充 时 ， 这 些 资源 谷 加 起 来 也 很 惊人 。 

2) 动态 缓冲 区 分 配 : 动态 缓冲 区 分 配方 法 可 根据 应 用 程序 运行 时 所 需 的 值 , 动态 分 配 绥 
冲 区 的 大 小 。 因 为 在 应 用 程序 编译 时 不 需要 确定 缓冲 区 的 大 小 ， 所 以 当 应 用 程序 所 操作 的 数 
据 在 运行 时 变化 很 大 时 ， 动 态 解 决 方案 给 应 用 程序 提供 了 更 大 的 灵活 性 。 动 态 分 配 还 带 来 了 
另 一 个 问题 。 因 为 动态 方法 是 数据 驱动 的 ， 意 想不到 的 或 者 恶意 的 输入 可 能 导致 系统 耗 尽 内 
存 资源 。 在 静态 分 配方 式 中 ， 在 编译 期 间 就 确定 了 需要 接收 或 者 操作 多 少数 据 。 只 有 当 缓 冲 
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区 溢出 发 生 时 ， 这 些 限 制 才 可 能 被 打破 ， 因 此 资源 耗 尽 问题 并 不 是 程序 员 考 虑 的 重点 。 但 在 
动态 分 配 缓冲 区 时 需要 限制 所 接收 的 数据 总 量 ， 需 要 由 特定 的 检查 程序 来 完成 这 个 任务 。 必 
须 执行 明确 的 、 完 善 的 检查 程序 ， 以 确定 在 改变 缓冲 区 大 小 时 ， 没 有 分 配 一 个 不 合理 的 内 存 
空间 。 

。 跟踪 缓冲 区 大 小 

C 和 C++ 内 署 的 帮助 程序 员 跟踪 缓冲 区 大 小 的 功能 十 分 有 限 ， 仅 返回 字符 串 长 度 。 如 果 
在 当前 范围 的 堆栈 上 为 变量 分 配 缓冲 区 ， 通 过 sizeof 操作 能 够 获取 为 其 分 配 内 存 的 长 度 ， 不 
过 ,如 果 是 在 堆 上 为 此 变量 分 配 空 间 ， 则 获取 的 只 是 指针 大 小 。 如 果 缓 冲 区 含有 一 个 字符 串 ， 
则 要 想 计算 出 这 个 字符 串 所 占 内 存 的 大 小 ， 可 使 用 计算 Null 终止 符 前 的 字 节 数 的 方法 。 唯 一 
的 通用 解决 方案 是 用 单个 不 同 值 来 跟踪 每 个 缓冲 区 的 当前 大 小 。 这 样 做 可 以 避免 通过 假定 来 
保证 缓冲 区 操作 是 安全 的 。 但 无 论 如 何 ， 只 要 某 个 操作 改变 了 内 存 分 配 状况 ， 就 需要 及 时 更 
新 所 存储 的 缓冲 区 长 度 值 。 

追踪 缓冲 区 和 其 大 小 的 最 常见 方法 是 ， 将 它们 存储 在 一 个 复合 数据 结构 中 。 这 个 方法 基 
本 上 就 可 以 保证 内 存 安全 。 保 证 内 存 安全 的 编程 语言 追踪 每 个 缓冲 区 的 大 小 ， 并 且 在 对 缓冲 
区 执行 操作 以 前 先 比 较 其 大 小 。 如 果 一 种 编程 语言 可 以 实现 这 种 工作 将 程序 员 解 放出 来 ， 那 
么 无 论 你 的 应 用 程序 是 否 需要 以 这 种 编程 语言 来 重新 实现 ， 都 是 值得 考虑 的 。 

绝 大 多 数 与 人 工 追 踪 缓冲 区 大 小 相关 的 错误 都 发 生 在 缓冲 区 的 大 小 不 能 够 正确 维护 时 。 
这 往往 都 是 因为 ， 在 程序 中 动态 更 改 了 缓冲 区 的 大 小 ， 却 没有 更 新 相关 缓冲 区 大 小 的 值 而 导 
致 的 。 一 个 陈旧 的 缓冲 区 大 小 值 比 不 记录 缓冲 区 大 小 更 危险 ， 因 为 这 个 缓冲 区 上 的 后 续 操作 
会 绝对 信任 已 存储 的 缓冲 区 大 小 。 最 好 提供 集中 的 库 函 数 来 维护 常见 数据 结构 的 缓冲 区 大 小 。 
这 样 做 可 以 仔细 审核 用 于 更 新 这 些 缓冲 大 小 值 的 代码 ， 以 避免 错误 。 


2. 字符 串 


基本 的 C 字符 串 数据 结构 ( 带 有 Null 终止 符 的 字符 数组 ) 也 是 错误 来 源 之 一 ， 内 置 的 、 用 
于 字符 串 操作 的 库 函 数 只 能 使 得 事情 更 加 糟糕 。 本 节 将 回顾 字符 串 操作 函数 的 最 初 设置 ， 然 
后 介绍 第 二 代 字 符 串 操作 函数 ( 绝 大 多 数 这 样 的 函数 名 中 都 带 有 n 字母 )， 以 及 它们 所 导致 的 
问题 。 然 后 探讨 使 用 Null 终止 符 来 指定 字符 串 长 度 所 带 来 的 问题 。 随 后 ， 讨 论 字 符 串 导致 组 
冲 区 溢出 的 其 他 两 种 方式 ， 多 字 节 字符 和 格式 串 。 最 后 研究 一 些 可 采用 更 安全 方式 来 访问 字 
符 串 的 库 函 数 。 

e 天 生 和 危险 的 函数 

许多 C 字符 串 函数 容易 被 错误 使 用 。 最 好 是 完全 避免 使 用 这 些 函 数 ， 而 不 是 小 心 翼 翼 地 
考虑 如 何 才能 不 出 错 。 尽 量 不 要 使 用 那些 天 生 和 危险 的 gets0、scanfO 等 字符 串 操纵 函数 。 

e 有 界 字符 串 操作 

在 C 和 C++ 程序 中 发 现 的 许多 早期 缓冲 区 溢出 漏洞 ,都 是 有 字符 串 操作 引起 的 。 当 发 现 
像 stcpy0 和 strcat0 这 样 的 函数 存在 漏洞 时 , C 语言 的 设计 者 修正 了 C 标准 , 引入 这 些 函数 的 
有 边界 限制 的 等 价 函数 ,例如 stmcpy0 和 stmcat0。 这 些 有 界 函 数 接收 一 个 参数 ， 限 制 写 入 到 
目标 缓冲 区 中 的 数据 总 量 。 

e。 有 界 函 数 的 常见 缺陷 

相对 于 无 界 函 数 而 言 ， 有 界 字符 串 函 数 更 安全 一 些 ， 但 仍 可 能 产生 错误 。 下 面 就 是 程序 
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员 在 使 用 这 些 有 界 字符 串 时 ， 经 常会 遇 到 的 错误 : 

1) 因为 边界 是 根据 源 数据 的 大 小 (而 不 是 目标 缓冲 区 的 大 小 ) 来 确定 的 ， 所 以 可 能 导致 目 
标 缓冲 区 溢出 。 

2) 目标 缓冲 区 中 没有 添加 一 个 Null 终止 符 ， 这 通常 是 因为 offby-one 错误 而 导致 的 。 

3) 因为 边界 指定 为 缓冲 区 的 总 容量 而 不 是 其 剩余 空间 ， 所 以 导致 目标 缓冲 区 溢出 。 

4) 因为 目标 缓冲 区 没有 设置 一 个 Null 终止 符 ， 所 以 ， 函 数 在 目标 缓冲 区 的 第 一 个 零 字 
符 所 在 位 置 后 写 入 数据 ， 从 而 导致 应 用 程序 在 内 存 的 任意 位 置 写 入 数据 。 

为 避免 发 生 这 些 问 题 ， 首 先 提出 的 建议 就 是 ， 避 免 使 用 两 个 最 常 被 误 用 的 有 界 字 符 串 操 
作 函 数 ，stmcpyO 和 strcnat0。 然 后 探讨 关于 字符 串 截 断 导 致 发 生 错误 的 更 加 广泛 的 主题 ， 因 
为 即使 正确 调用 有 界 函数 ， 这 些 错误 也 可 能 发 生 。 

e 保留 Null 终止 符 

在 C 语言 中 ， 字 符 串 正确 与 否 依赖 于 是 否 正确 地 使 用 Null 终止 等 ,没有 Null 终止 符 ， 
就 不 能 够 确定 字符 串 的 大 小 。 这 种 依存 关系 式 相当 脆弱 的 ， 因 为 ， 它 依赖 于 字符 串 的 内 容 来 
保证 与 字符 串 相 关 的 操作 能 否 正确 运行 。 

字符 串 终止 错误 可 以 轻易 导致 级 冲 区 溢出 和 好 辑 错误 。 这 些 问题 常常 比较 隐蔽 ， 因 为 它 
们 的 发 生 似乎 总 是 非常 确定 的 ， 往 往 依赖 于 程序 执行 时 的 内 存 状态 。 在 一 个 存在 很 多 漏洞 的 
应 用 程序 执行 期 间 ， 位 于 一 个 没有 正确 终止 的 字符 串 变 量 之 后 的 内 存 可 能 恰好 是 空 的 ， 所 以 
完全 掩盖 了 错误 ， 但 在 同一 个 应 用 程序 的 不 同 执行 中 ， 位 于 这 个 字符 串 后 的 内 存 也许 是 非 空 
的 ， 导 致 与 这 个 字符 串 相关 的 操作 完全 错误 地 运行 。 在 复杂 程序 中 ， 依 赖 于 内 存 运行 状态 的 
漏洞 难以 查找 ， 往 往 直到 程序 在 实际 运行 环境 中 运行 时 才 会 发 现 ， 因 为 真实 环境 与 测试 环境 
相 比 而 言 ， 程 序 运行 的 时 间 更 长 ， 所 处 的 环境 更 复杂 。 

e 字符 集 、 表 达 式 和 编码 

字符 集 是 打印 字符 的 集合 ， 通 常 对 应 于 在 书写 语言 中 使 用 的 字符 。 随 着 各 种 软件 程序 遍 
及 世界 各 地 ， 已 经 定义 出 各 种 不 同 的 字符 集 来 满足 使 用 不 同 语言 的 人 们 的 需求 。Unicode 标 
准 定义 了 一 个 通用 字符 集 ， 包 含 了 全 世界 每 一 种 主要 的 书写 符号 以 及 一 套 字符 编码 格式 来 存 
储 、 操 作 和 共享 各 应 用 系统 之 间 的 文本 信息 。 

提交 给 计算 机 的 字符 采用 了 字符 编码 格式 ， 这 些 格式 制定 了 整数 值 和 打印 字符 之 间 的 一 
个 映射 。 编 码 方式 基本 上 分 为 两 类 : 固定 宽度 和 可 变 宽度 。 固 定 宽度 编码 使 用 固定 的 位 数 来 
代表 每 个 码 点 ， 固 定 宽度 编码 具有 一 致 性 ， 更 便于 计算 机 和 程序 员 操 作 。 但 是 如 果 在 某 些 字 
符 串 中 只 使 用 了 一 少 部 分 码 点 ， 那 么 固定 宽度 编码 方式 就 不 够 高 效 。 采 用 可 变 宽 度 编码 ， 某 
些 字符 用 较 少 的 位 来 表示 ， 而 某 些 字符 用 较 多 的 位 来 表示 就 可 以 克服 这 个 问题 。 

。 格式 串 

当 允 许 用 户 输入 影响 某 些 字符 串 格式 化 函数 的 格式 串 参数 时 ， 可 能 会 发 生 格式 错误 。 本 
小 节 简 单 讨论 格式 串 漏洞 的 成 因 ， 概 述 产生 这 些 错误 的 几 种 方式 。 

从 历史 上 看 ， 新 的 安全 漏洞 并 非 总 是 频繁 产生 。 与 病毒 研究 者 不 同 ， 软 件 安全 研究 这 并 
不 需要 每 天 或 者 甚至 每 年 都 发 现 新 的 漏洞 ， 但 一 旦 发 现 了 可 能 需要 儿 年 的 时 间 来 克服 。 关 于 
格式 串 漏洞 来 说 也 是 这 样 的 情况 , 早 在 1999 年 就 被 广泛 认定 了 。 软件 行业 已 经 用 了 十 儿 年 的 
时 间 来 讨论 缓冲 区 溢出 漏洞 , 但 当 2000 年 格式 串 漏洞 被 广 为 利 用 时 , C 和 C++ 中 经 常 出 现 的 
一 个 常见 弱点 突然 引起 了 公众 的 注意 ， 大 量 软件 受到 影响 。 


*。128。 软件 安全 测试 及 工具 应 用 


C 和 C++ 中 的 字符 串 格式 化 函数 ， 例 如 printt0， 都 设计 得 尽 可 能 灵活 。 因 为 有 效 的 格式 
串 并 不 要 求 必 须 包 含 指令 或 转换 说 明 ， 所 以 ， 格 式 串 参数 可 用 于 处 理 不 需要 格式 化 的 函数 。 
格式 串 以 外 的 任何 参数 、 对 应 格式 指令 或 者 转换 说 明 符 都 是 可 选 的 ， 这 种 灵活 性 本 质 上 是 一 
个 类 型 问题 ， 会 让 程序 员 在 编写 时 采用 一 些 简 便 写 法 ， 虽 然 这 样 操作 表面 上 不 会 带 来 任何 错 
误 ， 因 为 标准 字符 只 是 简单 地 通过 格式 串 传递 ， 没 有 任何 改变 ， 但 它 是 导致 格式 串 漏洞 的 最 
常见 方式 之 一 。 

虽然 漏洞 利用 方式 有 很 多 而 且 很 复杂 ， 但 如 果 在 下 列 原则 中 ， 选 择 一 个 可 在 应 用 程序 环 
境 中 执行 最 严格 的 限制 ， 那 么 绝 大 部 分 格式 串 漏洞 是 可 以 避免 的 : 

1) 对 任何 接受 格式 串 参数 的 函数 ， 都 只 传递 静态 格式 串 ， 

2) 如 果 只 传递 某 个 固定 的 静态 格式 串 的 限制 太 严格 , 可 定义 一 个 有 效 的 格式 串 集合 ， 
后 从 这 个 安全 的 集合 中 选择 格式 串 。 

3) 如 果 应 用 程序 必须 要 求 格式 串 包 括 从 应 用 程序 外 部 读 入 的 输入 , 那么 对 于 从 应 用 程序 
外 部 读 入 的 、 将 要 包含 在 格式 串 中 的 值 ， 应 执行 严格 的 、 基 于 白 名 单 的 输入 验证 。 

e 更 完善 的 字符 串 类 和 类 库 

就 像 C 语言 本 身 一 样 ，C 语言 中 的 字符 串 更 多 考虑 了 有 效 性 和 简单 性 ， 而 不 是 稳健 性 和 
安全 性 。 使 用 Null 终止 字符 串 具 有 更 高 的 内 存 使 用 效率 ， 却 容易 出 错 。C 字符 串 的 替代 表示 
方法 不 需要 将 防止 缓冲 区 溢出 作出 一 个 功能 来 强调 其 安全 性 。 如 果 使 用 C++ 语言 ， 则 使 用 标 
准 STL 命名 空间 中 所 定义 的 字符 串 表示 法 ， 即 std::string。std::string 类 在 底层 的 字符 串 表 示 
外 添加 了 一 个 抽象 层 ， 提 供 了 执行 绝 大 部 分 字符 串 操作 的 方法 ， 并 且 不 用 冒 着 引入 缓冲 区 滋 
出 漏洞 的 风险 。 

虽然 存在 大 量 用 于 替换 C 语言 类 库 的 其 他 字符 串 处 理 类 库 和 表示 方法 , 但 是 并 没有 哪 一 
个 得 到 广泛 使 用 。 绝 大 部 分 程序 员 仍 继续 使 用 C 语言 本 身 带 的 字符 串 ， 并 且 寄 希望 于 它们 可 
以 避免 错误 。 选 择 一 种 能 够 更 容易 地 避免 缓冲 区 溢出 的 字符 串 表示 方法 ， 就 可 以 更 容易 地 编 
写 出 安全 的 应 用 程序 ， 并 且 能 带 来 其 他 好 处 。C 语言 中 Null 终止 字符 串 在 设计 时 侧重 于 编程 
方便 ， 转 为 寻求 其 他 不 同 的 字符 串 表 示 方法 时 ， 可 以 注意 到 程序 运行 性 能 的 提高 ， 具 体 指标 
根据 所 执行 的 字符 串 操作 类 型 而 异 。 


4.4.3 缓冲 区 溢出 伴随 的 问题 


缓冲 区 溢出 的 原因 不 全 是 字符 串 操作 错误 ， 即 使 选用 更 好 的 字符 串 操作 函数 也 无 法 保证 
不 再 发 生 缓冲 区 溢出 。 当 一 个 整数 值 超出 分 配 空间 所 能 表示 的 范围 时 ， 就 会 发 生 整 数 溢出 错 
误 ， 而 它 通常 就 是 攻击 者 进行 缓冲 区 溢出 攻击 的 前 奏 。 最 常见 的 缓冲 区 溢出 是 数字 类 溢出 ， 
这 是 因为 程序 中 操作 最 多 的 是 数字 类 数据 。 同 样 ， 不 是 每 一 种 应 对 缓冲 区 溢出 攻击 的 对 策 ， 
都 是 以 明智 的 字符 串 操 作 形式 来 实现 的 。 

本 节 首 先 介绍 整 数 溢出 错误 以 及 其 导致 缓冲 区 溢出 攻击 的 一 般 原 理 。 然 后 讨论 程序 运行 
期 间 用 于 减少 缓冲 区 溢出 漏洞 的 方法 ， 包 含 其 优点 和 缺点 。 本 节 分 为 两 个 部 分 : 

1) 整数 : 如 果 一 个 操作 所 传递 的 变量 可 能 超过 最 大 或 最 小 值 范围 , 就 可 能 是 缓冲 区 溢出 
的 前 兆 。 

2) 运行 时 保护 : 采用 类 型 与 类 型 均 安全 的 语言 进行 编程 是 保护 防止 缓冲 区 溢出 的 最 好 方 
法 ， 如 Java 或 C#， 或 者 选择 更 安全 的 C 语言 。 另 一 种 可 选 的 方案 是 ， 在 编写 完 应 用 程序 之 
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后 ， 插 入 运行 时 缓冲 区 溢出 保护 程序 ， 但 该 方法 解决 不 了 所 有 问题 。 
1. 整数 


因为 所 有 内 置 整 数 类 型 都 用 一 个 固定 位 数 表示 ， 所 以 其 表示 范围 有 限 。 有 时 ， 程 序 员 忽 
咯 了 这 个 事实 ， 认 为 整 型 变量 和 数学 中 的 整数 一 样 ， 没 有 上 下 限 。 实 际 上 ， 与 数学 中 的 整数 
不 同 ， 程 序 中 的 变量 范围 固定 ， 当 值 超 出 最 大 或 最 小 值 范围 时 ， 就 会 “ 回 绕 ”; 比如 ， 一 个 
非常 大 的 正 数 变 成 一 个 非常 大 的 负数 ， 反 之 亦 然 。 

如 果 攻 击 者 利用 这 种 回 绕 错误 ， 应 用 程序 就 会 面临 一 个 整数 溢出 攻击 。 整 数 溢出 能 导致 
许多 问题 ， 但 在 C 和 C++ 中， 最 常见 的 是 将 整数 溢出 作为 缓冲 区 溢出 利用 的 “先头 部 队 ”。 
当 使 用 可 能 发 生 回 绕 的 变量 来 分 配 内 存 、 限 制 字符 串 操 作 范围 或 作为 指向 缓冲 区 的 指针 时 ， 
可 能 发 生 缓冲 区 溢出 。 在 Java 中 ， 也 可 能 发 生 整数 溢出 ， 但 因为 Java 强制 执行 内 存 安全 性 
策略 ， 所 以 整数 溢出 漏洞 相对 不 容易 被 利用 。 

本 节 主 要 讨论 整数 溢出 和 数字 转换 错误 发 生 的 各 种 形式 ， 建 议 在 通常 情况 下 采用 什么 策 
咯 来 避免 这 些 问 题 。 然 后 研究 一 些 关系 密切 的 类 型 转换 错误 。 最 后 ， 针 对 最 容易 遭 到 攻击 的 
几 种 情况 ， 示 范 了 采用 哪些 技术 来 预防 和 检测 这 些 问题 。 

。 回 绕 错误 
绕 错误 是 整数 溢出 的 典型 示例 ， 在 一 个 整数 值 超出 其 数据 类 型 所 限定 范围 的 情况 下 
就 会 产生 回 绕 错误 。 就 像 回 绕 错 误会 引起 整数 上 溢 ， 认 识 到 这 点 很 重要 。 

。 截断 和 符号 位 扩展 

当 数 据 一 个 整数 类 型 向 一 个 比 自己 位 数 少 的 数据 类 型 转换 时 ， 就 会 产生 整数 截断 错误 。 
C 和 C++ 通过 截 去 高 阶 位 来 进行 这 种 转换 。 当 一 个 有 符号 整数 从 较 少 的 位 数 转换 为 较 多 的 位 
数 时 ， 多 余 位 数 将 被 填充 以 保持 原 有 符号 ， 与 前 面 截断 操作 的 方向 正好 相反 。 这 就 意味 着 ， 
如 果 一 个 负数 被 转换 成 一 个 更 大 的 数据 类 型 ， 它 的 有 符号 值 将 保持 不 变 。 但 它 的 无 符号 值 将 
急剧 增加 ， 这 是 因为 它 最 重要 的 数据 位 会 被 设置 值 。 

se 有 符号 数 和 无 符号 数 之 间 的 转换 

。 检测 和 防止 整数 溢出 的 方法 

没有 简单 的 、 容 易 遵循 的 建议 能 完全 消除 整数 溢出 和 类 型 转换 错误 ， 像 许多 缓冲 区 溢出 
漏洞 一 样 ， 整 数 溢出 几乎 不 可 能 被 完全 防止 。 据 此 ， 提 供 一 些 通用 的 规则 ， 用 于 限制 整数 溢 
出 所 引起 的 风险 。 


2. 运行 时 保护 


避免 缓冲 区 溢出 攻击 的 最 好 方法 是 ， 采 用 一 种 根本 不 允许 这 些 错 误 发 生 的 编程 语言 ， 比 
如 Java 和 C#。 如 果 已 经 编 好 的 程序 很 庞大 ， 那 么 改变 语言 通常 是 不 可 取 的 。 

在 程序 编写 完毕 之 后 安装 补丁 程序 似乎 更 容易 实现 。 但 是 ， 这 样 做 的 副作用 就 是 ， 这 些 
补丁 程序 并 不 能 实现 同等 级 别 的 保护 。 换 名 话说， 它们 不 能 真正 解决 问题 。 

。 更 安全 的 编程 语言 

尽管 频繁 公开 出 现 各 种 漏洞 似乎 说 明 编 程 语言 还 不 够 安全 ， 但 是 已 经 存在 非常 完善 的 组 
冲 区 洪 出 方案 。Java、C#、Python、Ruby 和 其 他 一 些 编程 语言 ， 确 实 消除 了 缓冲 区 溢出 错误 
的 可 能 性 。 但 这 些 语言 提供 的 缓冲 区 溢出 保护 措施 ， 是 以 相当 高 的 代价 换 来 的 。 本 节 概 述 了 


也 
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安全 性 和 其 他 需要 的 编程 语言 特性 之 间 不 可 避免 的 折 中 ， 比 如 系统 性 能 和 灵活 性 。 对 于 每 个 
具体 的 应 用 程序 , 并 不 存在 唯一 一 个 正确 答案 ; 只 能 尽力 提供 合理 解决 问题 所 需 的 必要 信息 。 

。 更 安全 的 C 语 言 

。 动态 缓冲 区 溢出 保护 

寻找 解决 难题 的 简单 办 法 是 人 类 的 本 性 ， 在 预防 缓冲 区 溢出 攻击 方面 也 不 例外 。 存 在 很 
多 没有 解决 根本 问题 的 检测 或 预防 缓冲 区 溢出 的 示例 ， 所 有 的 这 些 方法 都 失败 了 。 不 要 被 权 
宜 之 计 带 来 的 满足 感 所 迷惑 。 本 小 节 讨 论 下 列 动 态 保护 类 型 ， 侧 重 于 改变 程序 二 进 制 表示 法 
或 运行 环境 : 不 可 执行 的 内 存 段 ; 编译 时 工具 ;虚拟 执行 环境 ;更 健壮 的 系统 类 库 。 


4.4.4 ”错误 和 异常 


安全 问题 的 发 生 常常 是 因为 攻击 者 找到 了 某 种 违背 程序 员 初衷 的 途径 。 程 序 员 通 常 不 会 
耗费 精力 完全 考虑 错误 条 件 和 异常 情况 ， 但 是 这 种 忽视 的 地 方 将 使 攻击 者 具有 利用 程序 自身 
失误 发 起 攻击 的 能 力 。 本 节 将 主要 考虑 常见 错误 和 异常 处 理 方法 所 隐 含 的 安全 问题 。 本 节 所 
讨论 的 大 部 分 错误 不 会 像 缓冲 区 溢出 或 SQL 注入 一 样 直接 导致 可 利用 漏洞 。 但 它们 会 为 随后 
发 生 的 安全 问题 提供 必要 条 件 。 

通常 ， 编 写 应 用 程序 所 用 的 计算 机 语言 确定 了 这 个 应 用 程序 用 于 发 现 及 处 理 异 常情 况 的 
方法 。C 语言 提供 错误 代码 作为 函数 的 返回 值 。Java 使 用 已 检测 异常 。C++ 混 合 使 用 返回 值 
和 未 检测 异常 。 不 管 采用 哪 种 方法 ， 不 完善 的 处 理 机 制 通常 会 导致 资源 泄漏 。 错 误 处 理 代码 
常常 也 可 能 导致 日 志 或 调试 软件 问题 。 


1. 利用 返回 代码 处 理 错误 


利用 函数 返回 值 表 示 函 数 是 否 执行 成 功 ， 是 一 个 简单 明了 的 方法 。 但 是 ， 这 个 方法 伴随 
着 大 量 副 作用 : 

1) 易于 忽略 错误 ( 仅 忽 略 函 数 返回 值 ); 

2) 错误 处 理 代码 和 错误 信息 交织 在 一 起 ， 从 而 程序 变 得 难以 理解 。 如 果 错 误 处 理 逻 辑 中 
又 夹杂 着 处 理 正常 情况 的 逻辑 ， 就 更 容易 忽略 错误 了 ; 

3) 因为 没有 任何 约定 俗 成 的 通用 方式 来 表示 错误 信息 , 所 以 程序 员 必须 研究 所 调用 的 每 
个 函数 的 错误 处 理 机 制 。 

e 检查 C 语言 中 的 返回 值 

e 检查 Java 中 的 返回 值 

2. 管理 异常 

异常 可 以 解决 很 多 错误 处 理 问 题 。 虽 然 ， 只 要 简单 地 省 略 查 找 函 数 返回 值 的 代码 ， 就 可 
以 容易 地 忽略 函数 的 返回 值 ， 但 忽略 一 个 已 检测 的 异常 则 需要 做 相反 的 工作 一 一 程序 员 必 须 
为 此 编制 专门 的 代码 。 异 常 分 为 允许 遵循 正常 路 径 的 代码 和 处 理 异常 情况 的 代码 。 

异常 包括 已 检测 的 异常 和 未 检测 的 异常 。 其 不 同 之 处 在 于 ， 编 译 器 是 否 将 使 用 静态 分 析 
以 确保 异常 被 处 理 。 假 如 一 个 方法 声明 抛 出 一 个 已 检测 的 异常 ， 所 有 调用 它 的 方法 就 必须 处 
理 这 个 异常 或 者 声明 同样 也 抛 出 这 个 异常 。 这 就 迫使 程序 员 考 虑 所 有 可 能 会 发 生 已 检测 异常 
的 地 方 。Java 编译 器 强制 执行 这 些 与 已 检测 异常 相关 的 规则 ，Java 类 库 提供 了 自由 利用 已 检 
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测 异 常 的 功能 。Java 类 javalang Exception 就 是 一 个 已 检测 异常 。 

未 检测 异常 可 以 不 必 声 明和 处 理 。C++ 中 的 所 有 异常 都 是 未 检测 的 ， 这 就 意味 着 程序 员 可 
以 完全 忽略 可 能 会 出 现 异 常 这 个 事实 ， 其 编译 器 也 不 会 发 出 警告 。Java 也 提供 了 未 检测 异常 。 

带 有 未 检测 异常 的 风险 是 : 程序 员 可 能 意识 不 到 在 给 定 上 下 文 环境 中 可 能 会 发 生 异 常 ， 
可 能 会 忽略 适当 地 处 理 错误 。 

。 捕获 顶层 的 所 有 东西 
消失 的 异常 
只 捕获 需要 处 理 的 异常 
控制 已 检测 的 异常 

3. 防止 资源 泄漏 

未 能 释放 资源 (包括 数据 库 对 象 、 文 件 句 柄 和 套 接 字 ) 可 能 会 导致 严重 的 性 能 问题 。 要 想 
找 出 这 些 问 题 的 原因 比较 困难 。 这 种 情况 通常 是 在 不 寻常 环境 下 或 系统 负荷 太 重 时 偶然 发 生 
的 ， 所 以 很 难 根据 生成 的 错误 信息 查找 到 资源 泄漏 的 位 置 。 一 个 简单 的 示例 : closeO 调 用 完 
全 被 忽略 。 但 更 常见 的 是 ， 这 个 问题 不 得 不 处 理 极 少 使 用 的 代码 路 径 ， 它 们 通常 包含 错误 的 
条 件 或 异常 。 

在 C、C++ 以 及 任何 其 他 依靠 人 工 进行 内 存 管理 的 语言 中 ， 对 分 配 内 存 必 须 像 释放 其 他 
资源 一 样 被 释放 。 不 管 资源 中 包含 什么 东西 ， 释 放 的 方法 总 是 相同 的 。 下 面 给 出 了 与 对 分 配 
内 存 、 文 件 句柄 、 数 据 库 连 接 相关 的 示例 ， 但 是 同样 的 模式 可 应 用 于 其 他 所 有 资源 。 

不 恰当 地 管理 资源 所 导致 的 安全 性 后 果 都 是 一 样 的 。 假 如 程序 不 能 正确 管理 资源 ， 那 么 
攻击 者 就 很 容易 对 程序 发 起 拒绝 服务 攻击 。 但 引入 这 个 主题 ， 主 要 是 因为 在 执行 安全 代码 审 
查 时 ， 经 常 遭 遇 资 源 管理 问题 。 由 资源 泄漏 引起 的 问题 类 似 于 安全 性 问题 ， 因 为 运用 传统 的 
测试 方法 无 法 识别 和 跟踪 它们 。 

不 论 你 把 资源 泄漏 分 为 安全 风险 问题 (因为 资源 泄漏 可 能 会 导致 拒绝 服务 攻击 )， 还 是 一 
种 普通 的 质量 问题 (因为 其 可 能 与 性 能 相关 )， 其 解决 方案 是 相同 的 ; 建立 资源 管理 体系 。 因 
为 错误 处 理 代 码 与 资源 泄漏 之 间 的 关系 , 错误 处 理 模式 必须 在 各 种 条 件 下 (不 仅 是 某 些 期 望 的 
情况 ) 清 晰 指明 资源 管理 方式 。 


4. 日 志 记录 和 调试 


志 记 录 和 调试 都 能 深入 了 解 在 程序 执行 过 程 中 、 特 别 是 在 发 生 错误 或 出 现 预料 外 的 情 

况 时 ， 发 生 了 什么 。 本 节 将 阐述 创建 一 个 持续 日 志 记录 操作 和 将 调试 辅助 程序 从 二 进 制 代码 
中 分 离 的 优点 。 

利用 一 个 集中 日 志 结构 。 集 中 框架 结构 有 利于 以 下 工作 : 

1) 提供 一 种 通过 日 志 记录 反映 出 来 的 一 致 和 统一 的 系统 视角 ; 

2) 方便 修改 , 例如 : 将 日 志 移 到 另 一 台 机 器 上 、 将 记录 到 文件 的 日 志 改 为 记录 到 数据 库 ， 
更 新 有 效 性 或 私有 标准 。 

不 论 选 什么 ， 必 须 确保 在 代码 中 一 直 运 用 一 样 的 日 志 记录 机 制 。 尽 量 不 要 用 Sytem.out 
和 System.err 进行 特别 记录 ， 因 为 它们 很 难 确认 正确 操作 还 是 日 志 记录 约定 更 新 。 接 下 来 将 
讨论 良好 日 志 记录 的 一 些 基 本 要 求 ; 带 时 间 瀹 的 记录 条 目 、 记 录 所 有 重要 行为 、 可 控 地 访问 
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记录 数据 。 

谨慎 地 将 调试 代码 和 系统 分 离开 来 ， 以 便 它 绝对 不 出 现在 产品 部 署 中 。 每 个 人 都 增加 
代码 容易 泄露 系统 的 额外 信息 。Knuth 指出 : 最 有 效 的 调试 技术 是 在 程序 自身 中 设计 和 构 
建 的 调试 技术 ， 当 今 在 许多 最 好 程序 员 的 程序 中 接近 一 半 的 内 容 都 用 于 简化 另 一 半 程 序 的 
调试 过 程 。 前 一 半 内 容 .……. 将 最 终 被 抛弃 ， 即 使 这 样 ， 其 性 能 也 可 能 更 好 。 问 题 是 ， 如 果 
这 种 扩展 行为 离开 调试 环境 并 进入 应 用 环境 中 ， 将 对 系统 的 安全 造成 潜在 危害 。 调 试 代 码 
没有 像 程 序 其 他 部 分 一 样 接收 同等 级 别 的 检查 和 测试 ， 并 且 编 写 时 也 没有 从 稳定 性 、 性 能 
和 安全 方面 考虑 。 

“后 门 ”访问 代码 是 调试 代码 的 一 个 特别 情况 。“ 后 门 ”访问 代码 允许 开发 者 和 测试 者 
通过 终端 用 户 不 能 使 用 的 方法 访问 应 用 程序 。 在 孤立 环境 中 或 应 用 程序 被 配置 到 应 用 环境 前 ， 
“后 门 ”访问 代码 是 应 用 程序 必要 的 测试 组 成 部 分 。 但 是 ， 假 如 “后 门 ”访问 代码 被 发 送 到 
实际 产品 中 ， 攻 击 者 就 可 以 使 用 程序 设计 和 调试 过 程 中 没 考虑 到 的 方法 攻击 程序 ， 经 常 可 以 
绕 过 运行 过 程 中 的 安全 机 制 。 当 这 种 类 型 的 调试 代码 意外 存在 于 产品 中 时 ， 这 个 应 用 程序 无 
意 之 中 开放 了 交互 模式 。 因 为 这 些 “ 后 门 ” 进 入 点 在 设计 或 测试 时 没有 被 考虑 进来 ， 且 在 应 
用 程序 期 望 的 操作 条 件 之 外 ， 它 会 引起 安全 风险 。 

遗忘 调试 代码 最 常见 的 示例 是 ，Web 应 用 程序 中 的 main0 方 法 。 尽 管 这 是 在 产品 开发 过 
程 中 可 接受 的 惯例 ， 但 PEE 应 用 程序 的 部 分 类 不 应 该 定义 main0 方 法 。 其 他 “后 门 ”访问 
机 制 的 示例 通常 包括 , 在 应 用 被 配置 前 允许 综合 测试 或 简化 管理 过 程 的 Web 访问 节点 。 如 果 
它们 被 忘记 了 ， 则 存在 更 大 的 风险 ， 因为 它们 可 以 被 Web 上 的 任何 人 访问 ， 而 不 仅 是 可 以 局 
部 调用 main0 方 法 的 用 户 。 

确保 那些 没 用 的 、 临 时 的 、 备 份 的 文件 不 出 现在 产品 中 。 备 份 文件 是 软件 开发 过 程 中 的 
附属 品 。 创 建 它们 的 原因 有 很 多 ， 例 如 ， 程 序 员 在 抛弃 先前 工作 前 想 验 证 其 他 新 功能 ， 或 者 
测试 者 需要 用 给 定 组 件 的 不 同 版 本 测试 不 同 场景 或 不 同 模块 。 不 论 创建 临时 文件 的 原因 是 什 
么 ， 攻 击 者 可 以 通过 临时 文件 在 攻击 产品 前 对 它 的 大 致 构 型 有 一 个 粗略 了 解 。 因 为 临时 文件 
反映 了 之 前 代码 或 设置 ， 所 以 它们 也 最 容易 遭受 安全 攻击 或 出 现 其 他 错误 。 应 用 程序 框架 也 
会 用 不 同 的 方式 对 待 临时 文件 ， 例 如 ， 名 为 indexjsp 的 文件 将 被 编译 成 Java 服务 器 端 页 面 ， 
而 名 为 indexjsp.bak 的 文件 可 能 在 源 代码 中 以 文本 的 形式 出 现 。 

自动 Web 攻击 工具 通过 识别 暴露 在 整个 站 点 中 的 文件 名 的 方式 来 搜索 备份 文件 。 例 如 
假如 一 个 站 点 包含 文件 welcomjsp， 攻 击 工具 将 请 求 welcomejsp.bak、welcome.jsp.txt、 
welcome.jsp 和 welcomejsp.zip 等 文件 。 确 保 查 明 所 有 这 种 类 型 的 最 简单 方法 是 ,确定 不 配置 
备份 文件 。 从 输入 确认 技术 中 获得 线索 ， 建 立 一 个 所 发 布 文件 的 白 名 单 。 当 然 ， 也 非常 有 必 
要 对 应 用 程序 的 发 布 版 本 进行 测试 。 不 要 把 工作 都 留 给 测试 工具 来 猜测 哪 种 垃圾 文件 已 经 丢 
掉 ， 确 保 所 有 的 配置 文件 都 有 合适 的 文件 扩展 名 是 部 署 过 程 的 一 部 分 。 


4.5 本 章 小 结 


本 章 主要 介绍 了 代码 安全 静态 分 析 的 基本 概念 以 及 代码 审查 中 的 静态 分 析 ， 其 中 ， 代 码 
安全 静态 分 析 基 本 概念 部 分 还 对 静态 分 析 存 在 的 局 限 性 和 其 所 能 解决 的 问题 进行 了 重点 阐 


述 。 另 外 ， 
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本 章 还 着 重 介绍 了 静态 分 析 的 过 程 和 该 过 程 中 经 常 出 现 的 问题 ， 静 态 分 析 过 程 包 


括 建 模 、 分 析 算 法 、 规 则 以 及 报告 结果 ， 而 该 过 程 中 经 常 出 现 的 问题 则 包括 处 理 和 输入、 缓冲 


区 溢出 及 划 


伴随 的 问题 、 错 误 和 异常 等 。 静 态 分析 在 软件 测试 中 占有 十 分 重要 的 地 位 ， 它 不 


仅 关 系 着 程序 员 编 程 的 规范 性 ， 更 关系 着 整个 程序 的 安全 性 。 


第 5 章 ”软件 安全 动态 渗透 测试 


本 章 导读 
渗透 测试 是 受信 任 的 第 三 方 进行 的 一 种 评估 网 络 安全 的 活动 ， 它 是 一 个 通过 各 种 手段 攻 
击 企业 网 络 以 找 出 系统 中 存在 的 漏洞 ， 进 而 给 出 企业 网 络 中 存在 的 风险 的 过 程 。 通 过 模拟 现 
实 的 网 络 攻击 ， 渗 透 测 试 证 实 恶意 攻击 者 有 可 能 获取 或 破坏 企业 的 数据 资产 。 本 章 将 介绍 渗 
透 测 试 的 相关 知识 。 
应 掌握 的 知识 要 点 : 
e 渗透 测试 的 概念 ; 
建立 测试 计划 ; 
主机 侦查 ; 
攻击 Web 服务 器 ; 
数据 库 攻击 ; 
口令 破解 ; 
会 话 动 持 ; 
木马 和 后 门 的 运用 ; 
常见 服务 器 渗透 ; 
缓冲 区 溢出 ; 
拒绝 服务 攻击 ; 
软件 漏洞 。 


5.1 软件 安全 动态 渗透 测试 的 概念 


在 当今 的 信息 时 代 ， 由 于 Intemet 连接 是 公开 的 ， 因 此 极 大 地 增加 了 保护 网 络 和 计算 机 
系统 安全 的 难度 。 各 种 网 络 攻击 手段 层出不穷 ， 企 业 和 机 构 为 降低 各 种 攻击 所 带 来 的 风险 ， 
更 注重 对 自己 的 系统 进行 专业 的 渗透 测试 ， 找 出 其 中 存在 的 安全 漏洞 和 薄弱 环节 。 那 么 ， 什 
么 是 渗透 测试 呢 ? 简 单 地 说 ,渗透 测试 是 由 受信 任 的 第 三 方 进行 的 一 种 评估 网 络 安全 的 活动 ， 
它 是 一 个 通过 各 种 手段 攻击 企业 网 络 以 找 出 存在 于 系统 中 的 漏洞 ， 进 而 给 出 存在 于 企业 网 络 
中 的 风险 的 过 程 。 通 过 模拟 现实 的 网 络 攻击 ， 渗 透 测 试 证 实 了 恶意 攻击 者 有 可 能 获取 或 破坏 
企业 的 数据 资产 。 


5.1.1 渗透 测试 概述 
黑客 这 个 术语 的 现代 意义 , 起 源 于 1960 年 的 麻 省 理工 学 院 技术 模型 铁路 俱乐部 。 这 个 俱 
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乐 部 设计 比例 较 大 、 细 节 逼 真 的 火车 模型 ， 而 “黑客 ”被 用 来 称呼 那些 发 现 了 聪明 技巧 的 俱 
乐 部 成 员 。 从 那 以 后 ，“ 黑 客 ” 这 个 术语 用 来 描述 从 计算 机 迷 到 天 赋 程 序 员 之 类 的 人 ， 他 们 
的 共同 之 处 是 对 计算 机 系统 和 网 络 都 有 自发 的 探索 之 心 。 另 外 ， 开 源 软件 开发 者 也 经 常 认为 
自己 是 黑客 ， 并 且 把 此 称谓 当 作 一 种 尊称 。 渗 透 测试 人 员 是 一 个 有 道德 的 黑客 ， 他 被 雇佣 来 
寻找 公司 网 络 的 漏洞 ， 以 便 评估 数据 安全 特性 。 攻 入 网 络 的 道德 黑客 小 组 被 称 为 老虎 队 。 老 
虎 队 是 一 组 程序 员 或 用 户 ， 他 们 自愿 或 被 雇佣 来 发 现 新 开发 的 软件 或 网 络 系统 中 的 错误 和 安 
全 漏洞 ， 或 者 弄 清 原 有 计算 机 网 络 的 安全 被 瓦解 的 原因 。 在 美国 军队 中 ， 老 虎 队 是 一 支 被 分 
配 了 突破 敌 方 基地 或 限制 区 安全 线 任务 的 特殊 部 队 。 

渗透 测试 人 员 能 够 进行 三 种 类 型 的 测试 : 

1) 黑 盒 测 试 : 渗透 测试 人 员 不 具备 公司 网 络 的 任何 先 验 知识 。 例如， 进行 外 部 的 黑 盒 测 
试 时 , 测试 人 员 拿 到 手 的 信息 仅 为 网 站 的 地 址 或 他 地址 , 然后 被 要 求 像 恶意 黑客 那样 破解 指 
定 的 网 站 。 

2) 白 盒 测试 : 渗透 人 员 已 经 具备 内 部 网 络 完整 的 知识 。 他们 在 测试 之 前 已 经 得 到 了 一 张 
网 络 拓扑 图 或 一 张 操作 系统 和 应 用 程序 列表 ， 并 可 从 中 获取 企业 网 络 的 完整 知识 。 尽 管 这 种 
方式 不 是 外 部 攻击 的 最 佳 表 示 ， 但 它 却 是 最 精确 的 ， 原 因 在 于 它 表 达 了 最 糟 的 情况 。 

3) 灰 盒 测试 : 测试 人 员 模 拟 内 部 雇员 。 他 们 得 到 了 一 个 内 部 网 络 的 账户 ， 并 拥有 了 访问 
网 络 的 标准 方法 。 这 项 测试 用 于 评估 来 自 企 业内 部 雇员 的 攻击 。 

渗透 测试 人 员 要 测试 漏洞 和 威胁 。 漏 洞 是 能 够 用 来 破坏 安全 策略 的 弱点 、 设 计 或 实现 错 
误 ; 威胁 是 一 种 能 引起 破坏 的 潜在 安全 侵害 ， 如 暴露 敏感 数据 、 自 改 数据 、 破 坏 数据 及 拒绝 
服务 等 ， 而 安全 则 关注 避免 威胁 的 资源 保护 。 威 胁 可 能 破坏 三 个 方面 的 特性 : 机 密 性 、 完 整 
性 和 可 用 性 ， 简 称 为 CIA(Confidentiality，Integrity，Availability)。 其 中 ， 机 密 性 威胁 是 指数 
据 被 非 授权 查阅 的 风险 ， 完 整 性 威胁 是 指数 据 被 非 授 权 用 户 算 改 的 风险 ， 可 用 性 威胁 是 指 用 
户 不 能 使 用 服务 或 网 络 资源 的 风险 。 


5.1.2 ”渗透 测试 阶段 


渗透 测试 可 划分 为 下 述 5 个 阶段 : 俩 察 、 扫 描 、 获 取 访 问 、 维 持 访 问 和 擦 除 证 据 。 

在 侦察 阶段 ， 测 试 人 员 尽 可 能 多 地 收集 所 选 目标 的 信息 。 侦 察 分 为 主动 侦察 和 被 动 侦察 
两 种 形式 。 在 主动 侦察 攻击 中 ， 测 试 人 员 使 用 诸如 nslookup、dig、SamSpade 的 工具 探测 目 
标 网 络 ， 以 获取 诸如 下 地 址 范围 这 样 的 内 容 。 在 被 动 侦察 攻击 中 ,测试 者 使 用 诸如 新 闻 组 或 
招聘 帖子 这 样 的 公开 可 用 信息 来 发 现 有 关公 司 技术 的 信息 。 

在 扫描 阶段 ， 测 试 者 使 用 诸如 Nmap 这 样 的 工具 扫描 开放 端口 ， 以 获取 网 络 的 特征 。 
这 个 阶段 的 目标 是 确定 运行 在 目标 主机 上 的 服务 。 也 正 是 在 这 个 阶段 ， 测 试 人 员 完 成 操作 
系统 的 指纹 识别 ， 即 通过 匹配 目标 主机 的 操作 系统 特征 ， 确 定 该 操作 系统 的 类 型 。 

扫描 阶段 的 工作 也 包括 漏洞 扫描 。 漏 洞 测试 的 目标 是 试图 利用 被 发 现 的 漏洞 ， 而 当成 功 
利用 后 , 就 获取 了 对 目标 主机 的 访问 。 通过 安装 后 门 木 马 程序 , 测试 者 能 反复 进入 目标 系统 ， 
这 样 就 实现 了 维持 访问 的 目的 。 

测试 的 最 后 一 个 阶段 是 擦 除 证 据 。 有 道德 的 黑客 希望 了 解 他 们 能 否 擦 除 可 能 记录 了 他 们 
在 目标 网 络 中 活动 的 日 志文 件 。 由 于 很 多 攻击 就 是 在 悄 无 声息 进行 ， 因 此 ， 评 估 日 志 中 能 够 
记录 什么 攻击 以 及 擦 除 这 些 日 志 的 难度 也 是 一 件 重要 的 事情 。 另 外 ， 在 擦 除 日 志 之 前 一 定 要 
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确保 得 到 了 这 种 授权 。 如 果 测 试 者 不 能 证 明 他 们 进行 了 日 志 擦 除 ， 那 么 擦 除 这 样 的 日 志文 件 
就 会 导致 责任 问题 。 如 果 没 有 授权 擦 除 日 志 ， 那 么 可 以 测试 事件 通知 过 程 ， 并 向 客户 了 解 是 
否 得 到 了 适宜 的 通知 。 


5.2 ”建立 测试 计划 


常言 道 ， 不 打 无 准备 之 仗 。 与 所 有 大 型 项 目 一 样 ， 渗 透 测 试 的 成 功 也 来 自 严谨 的 系统 规 
划 。 渗 透 测 试 并 不 是 通过 随机 运行 几 个 工具 就 完成 了 安全 评估 。 渗 透 测 试 需要 建立 一 个 系统 
的 、 可 以 一 步 步 精 确 执行 的 计划 ， 这 个 计划 必须 精确 地 描述 要 做 什么 、 什 么 时 候 做 以 及 如 何 
去 做 。 


5.2.1 分 步骤 的 测试 计划 


完整 的 渗透 测试 都 应 该 包括 下 述 步 又: 

1) 侦察 一 一 收集 目标 网 络 信息 的 最 初 阶段 ; 

2) 列举 -一 查询 活动 系统 ， 从 而 抓 取 网 络 共享 、 用 户 及 特定 应 用 程序 信息 的 过 程 ; 

3) 获取 访问 一 一 实际 渗透 过 程 ; 

4) 维持 访问 一 一 测试 者 将 后 门 程序 放 入 到 被 利用 系统 中 ， 以 便 未 来 使 用 ， 

5) 抹 去 踪迹 一 一 删除 日 志文 件 项 、 探 除 进入 系统 痕迹 的 过 程 。 

在 开始 第 一 步 工 作 之 前 ， 还 要 和 客户 或 管理 层 (如 果 进行 内 部 测试 的 话 ) 完 成 下 述 任务 : 
缩小 项 目 范围 ， 确 定 是 否 使 用 社会 工程 ， 决 定 是 否 允许 使 用 会 话 动 持 ， 就 木马 和 后 门 软件 的 
使 用 达成 一 致 。 


5.2.2 开源 安全 测试 方法 指南 


安全 与 开源 方法 协会 的 各 位 专家 通力 协作 , 制定 了 “开源 安全 测试 方法 指南 ”(OSSTMM, 
Open-Source Security Testing Methodology Manual), 为 渗透 测试 者 设计 安全 审计 方法 提供 了 基 
本 的 参照 。 

OSSTMM 针对 诸如 信息 安全 、 过 程 安全 、 互 联网 技术 安全 、 通 信和 安全、 无 线 安全 、 物 
理 安全 等 安全 评估 问题 进行 了 重点 阐述 。 虽 然 其 包含 范围 比 渗透 测试 要 广 ， 但 它 依然 可 以 作 
为 渗透 测试 过 程 中 的 初始 框架 。 数 据 收集 完成 后 ， 就 可 以 进入 评估 阶段 了 。 


5.2.3 文档 


如 果 不 能 向 客户 或 主管 交付 有 形 的 东西 ， 那 么 渗透 测试 将 变 得 毫 无 意义 。 结 果 报 告 应 该 
详细 列举 测试 的 成 果 ， 另 外 ， 当 所 检测 的 系统 被 判定 为 高 风险 系统 时 ， 测 试 人 员 应 当 为 客户 
写 专 业 的 建议 。 
一 般 情 况 下 ， 渗 透 测试 报告 由 下 述 章 节 构 成 : 摘要 、 项 目 范 围 、 结 果 分 析 、 小 结 以 及 
附录 。 
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5.3 “主机 侦察 


恶意 黑客 想 要 进行 有 效 的 攻击 ， 首 先 要 做 的 就 是 进行 有 价值 的 侦察 。 因 为 如 果 目 标 运行 
着 Microsoft 服务 器 , 那么 对 它 发 起 与 UNIX 漏洞 利用 相关 的 攻击 是 毫 无 意义 的 。 在 前 期 侦察 
上 花 些 许 时 间 将 节省 渗透 攻击 期 间 的 大 量 时 间 。 有 时 ， 亚 意 攻击 者 在 突破 目标 的 安全 防线 之 
前 可 能 要 花 数 月 时 间 来 进行 仔细 侦察 。 尽 管 渗透 测试 人 员 没 有 像 恶 意 攻击 者 那样 有 很 多 的 时 
间 ， 他 们 依然 知道 侦察 的 价值 。 主 机 侦察 的 目标 是 要 发 现下 述 信息 : 目标 网 络 上 主机 的 下 地 
址 ， 目 标 系统 上 可 访问 的 UDP 端口 和 TCP 端口 ， 目 标 系统 上 使 用 的 操作 系统 。 

本 节 将 介绍 如 何 使 用 各 种 信息 收集 技巧 发 现 目 标 网 络 上 的 活动 主机 。 利 用 端口 扫描 工 
具 ， 我 们 也 将 学 习 到 如 何 确 定 目标 主机 上 运行 的 操作 系统 及 开放 的 TCP 和 UDP 端口 。 最 后 
将 介绍 监测 和 预防 侦察 技术 的 最 佳 实践 。 


5.3.1 被 动 主机 侦察 


用 来 发 现 目标 网 络 上 主机 信息 的 侦察 方法 有 两 种 : 被 动 侦察 和 主动 侦察 。 本 节 主 要 介绍 
被 动 主机 侦察 。 

被 动 侦察 是 从 开放 的 信息 源 中 收集 数据 。 开 放 信息 意味 着 这 些 信息 可 自由 地 从 外 部 访 
问 ， 且 查看 开放 信息 源 的 信息 是 完全 合法 的 行为 。 对 于 这 些 信息 的 保护 ， 企 业 几 乎 做 不 了 什 
么 ， 但 如 果 企 业 愿 意 ， 依 旧 可 以 找到 一 些 可 用 的 、 保 护 企业 公开 信息 的 方法 。 

常见 的 开放 信息 源 包括 : 公司 网 站 ， 电 子 数据 收集 、 分 析 和 检索 系统 档案 (适用 于 公众 上 
市 公司 )，NNTP USEET 新 闻 组 ， 用 户 组 会 议 ， 商 业 伙 伴 ， 垃 圾 侦察 以 及 社会 工程 。 


5.3.2 主动 主机 侦察 


尽管 被 动 侦察 方法 很 有 效 ， 但 它 经 常 要 花费 大 量 的 时 间 ， 而 且 并 不 一 定 会 生成 最 精确 的 
结果 。 在 主动 侦察 中 ， 使 用 技术 工具 发 现 目标 网 络 上 活动 主机 的 信息 。 然 而 ， 主 动 侦察 也 存 
在 缺点 ， 主 要 是 这 种 侦察 方式 容易 被 发 觉 。 以 小 偷盗 窃 为 例 ， 一 个 是 他 在 准备 动手 的 房子 周 
围 转悠 (被 动 侦察 )， 另 一 个 是 趴 在 房子 的 每 一 个 窗户 上 窥探 房间 里 有 什么 东西 (主动 侦察 )。 显 
然 ， 罕 探 窗户 的 小 偷 比 走 过 房子 旁边 的 小 偷 更 值得 怀疑 。 总 之 ， 主 动 侦察 揭露 了 更 多 的 信息 ， 
但 也 更 容易 被 发 现 。 
主动 主机 侦察 中 常用 的 工具 包括 : NSLookup/Whois/Dig lookups，SamSpade，Visual 
Route/Cheops，Pinger/WS_Ping_Pro 等 。 


5.3.3 ”端口 扫描 


知道 目标 网 络 上 有 哪些 主机 能 够 公开 访问 后 ,就 需要 进一步 确定 这 些 主机 上 开放 了 哪些 
端口 ,而 要 完成 这 个 任务 就 需要 使 用 端口 扫描 .端口 扫描 是 一 个 通过 扫描 主机 确定 哪 一 些 TCP 
和 UDP 端口 可 以 访问 的 过 程 。 

现 有 的 绝 大 多 数 应 用 程序 都 运行 在 TCP 或 UDP 协议 之 上 。 这 些 协议 是 众多 应 用 程序 使 
用 的 传输 机 制 , 如 文件 传输 协议 QTP)、 简单 邮 件 传输 协议 (SMTP)、 动态 主机 配置 协议 (DHCP) 
及 超 文本 传输 协议 (HTTP) 等 。TCP 是 一 种 面向 连接 的 协议 ， 也 就 是 说 ， 它 通过 在 主机 之 间 建 
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立 连接 来 提供 可 靠 的 访问 。 与 此 相反 ，UDP 是 一 种 无 连接 协议 ， 它 不 提供 可 靠 性 保证 。 
TCP 类 似 于 寄 挂 号 信 ， 收 件 人 必须 签字 表示 收 到 了 信件 ， 信 件 的 传递 才 算 成 功 ， 从 而 保 
证 了 可 靠 性 。 与 此 相反 ，UDP 类 似 于 普通 信件 ， 它 并 不 保证 信件 会 被 正确 地 送 达 。UDP 应 
用 程序 (比如 DHCP) 依 靠 应 用 程序 本 身 在 必要 时 提供 可 靠 性 。 而 使 用 TCP 的 应 用 程序 (比如 
FTP) 运 用 了 内 置 在 TCP 协议 中 的 可 靠 性 来 提供 可 靠 的 数据 传输 。 
端口 扫描 有 多 种 类 型 ， 主 要 包括 : TCP Connect0 扫 描 ，SYN，NULL，FIN。 


5.3.4 ”扫描 检测 


于 主机 和 网 络 的 扫描 通常 是 其 他 漏洞 利用 和 攻击 的 前 奏 , 因此 它们 不 可 能 悄 无 声息 地 进 
行 。Nmap 是 渗透 测试 人 员 进行 端口 扫描 的 一 个 有 用 工具 ， 它 具有 使 用 灵活 、 功 能 强大 的 特点 ， 
而 构造 一 个 抵御 Nmap 扫描 的 堡垒 需要 儿 个 安全 部 件 。 本 节 将 主要 讲述 这 些 安全 部 件 ， 为 进 一 
步 学 习 利用 入 侵 检测 系统 监视 和 检测 通过 Nmap 工具 扫描 网 络 和 主机 的 方法 打下 基础 。 


1. 入 侵 检测 


入 侵 检测 系统 IDS，Intrusion Detection System) 与 家 庭 安防 系统 (防盗 警报 器 ) 类 似 ， 防 盗 
警报 器 监视 进入 或 侵入 家 庭 和 办 公 室 的 不 速 之 客 ，IDS 则 记录 进入 网 络 的 警报 。 但 是 ， 与 家 
庭 安防 系统 不 同 的 是 ， 我 们 可 以 配置 DS， 使 其 能 够 真正 抵抗 TCP RST 和 SHUN 命令 ， 终 
止 恶 意 攻击 对 网 络 的 进一步 侵入 或 破坏 。IDS 通常 部 署 在 能 检查 到 尽 可 能 多 的 流量 的 地 方 。 

2. 异常 检测 系统 


异常 检测 系统 (ADS，Anomaly Detection System) 也 称 为 基于 轮廓 的 检测 系统 
(Profile-Based Detection System)， 它 设计 用 于 观察 用 户 或 网 络 的 概貌 。 例 如， 如 果 异 常 检测 系 
统 观察 到 网 络 流量 利用 率 从 正常 时 期 的 30% 突 然 提高 到 90% 并 且 持续 一 段 时 间 , 那么 它 就 会 
报警 。 


3. 滥用 检测 系统 


滥用 检测 系统 (MDS, Misuse Detection System) 使 用 模式 匹配 方法 。 这 样 的 系统 包含 了 用 
于 匹配 网 络 流量 的 数 百 种 模式 和 特征 标志 。 滥 用 检测 系统 与 标准 的 磁盘 反 病 毒 软件 的 思想 方 
式 十 分 相似 ; 反 病毒 软件 扫描 磁盘 驱动 器 ， 寻 找 磁盘 或 文件 中 与 病毒 特征 相似 的 模式 ， 小 
检测 系统 不 是 读 取 磁盘 文件 ， 而 是 直接 读 取 电缆 上 的 数据 帧 和 数据 包 。 当 前 的 大 多 数 检测 系 
统 都 采用 了 这 种 工作 方式 ， 但 它们 的 特征 库 随 着 新 的 攻击 方式 的 出 现 很 快 就 会 过 期 ， 因 为 新 
攻击 的 特征 还 没有 收录 到 此 类 系统 的 特征 数据 库 中 。 
4 基于 主机 的 入 侵 检测 系统 


基于 主机 的 入 侵 检测 系统 安装 在 本 地 主机 上 ， 用 于 检查 本 地 系统 上 的 一 些 重要 安全 因 
素 ， 包 括 系统 调用 、 审 计 日 志 、 出 错 消息 及 网 络 流量 。 基 于 主机 的 入 侵 检测 系统 的 优点 是 它 
们 能 为 特定 系统 提供 保护 和 报警 。 然 而 ， 这 类 系统 并 不 是 设计 用 于 对 整个 网 络 提供 保护 ， 而 
只 是 对 主机 提供 保护 。 
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5. 基于 网 络 的 入 侵 检测 系统 


基于 网 络 的 入 侵 检测 系统 专用 于 完成 一 件 任务 监视 整个 网 络 ,这 样 的 系统 包括 Cisco 
4200 系列 的 设备 。 它 们 被 放 在 特定 检查 点 并 使 用 专用 端口 来 监视 传递 到 网 络 中 任何 主机 的 网 
6. 网 络 交换 机 


在 网 络 集线器 出 现 不 久 ， 交 换 机 就 进入 了 市 场 。 交 换 机 提供 了 与 集线器 相同 的 星 形 拓扑 
结构 ， 但 它 不 是 把 所 有 计算 机 就 连接 在 一 条 总 线 上 。 当 计算 机 之 问 进行 通信 时 ， 交 换 机 监视 
第 2 层 的 帧 ， 并 形成 一 个 MAC 地 址 表 。 它 通过 创建 计算 机 到 指定 端口 的 内 部 映射 表 ， 增 加 
交换 机 的 性 能 。 当 计算 机 要 跨越 交换 机 进行 通信 时 ， 交 换 机 把 这 些 帧 转发 给 包含 目标 主机 的 
特定 接口 。 
流量 仅 被 转发 到 它 所 需要 的 地 方 。 基 于 这 种 基本 设计 ， 低 价格 的 交换 机 难以 有 效 地 安装 
IDS。 昂 贵 的 可 编程 交换 机 通常 支持 被 称 为 交换 端口 分 析 器 (SPAN，Switched Port Analyzer) 
的 端口 或 端口 监听 。SPAN 功能 让 网 络 管理 员 能 够 选择 一 些 特定 端口 ， 并 将 它们 的 所 有 流量 
都 复制 出 来 用 于 监测 。 反 过 来 ， 这 些 端 口 也 是 IDS 要 连接 的 地 方 。 


5.4 ”Web 服务 器 攻击 


互联 网 已 经 深入 到 了 生活 中 的 各 个 角落 ， 人 们 可 以 从 网 上 购买 到 自己 所 需要 的 几乎 一 切 
东西 ， 如 足球 、 股 票 、 汽 车 、 电 子 产 品 、 图 书 、 门 票 、 保 险 等 。 

今天 ， 人 们 足 不 出 户 ， 就 能 够 完成 下 述 任务 : 

1) 购买 能 够 想象 得 到 的 几乎 所 有 商品 和 服务 ， 如 汽车 、 电 脑 、 图 书 、 家 政 服务 等 ; 

2) 完成 复杂 的 金融 交易 ， 如 银行 服务 、 股 票 买卖 、 基 金 买 卖 等 ; 

3) 寻找 人 类 已 知 的 每 一 个 主题 深入 透彻 的 信息 ; 

4) 搜索 海量 信息 ， 如 果 在 Google 中 输入 一 个 比较 常见 的 词汇 ， 就 会 找到 成 千 上 万 出 现 
该 词汇 的 网 页 ; 

5) 体验 几乎 无 限 的 数据 媒体 内 容 ， 如 电影 、 音 乐 、 图 像 、 电 视 等 ; 

6) 得 到 各 种 各 样 的 软件 ， 并 且 大 部 分 是 免费 得 到 ， 如 从 操作 系统 到 文字 处 理 程序 等 ; 

7) 以 实时 方式 与 任何 人 进行 通信 ， 包 括 使 用 基于 Web 的 电子 邮件 、 语 音 电 话 及 聊天 工 
具 等 。 

伴随 众多 服务 和 便利 网 上 购物 的 是 日 益 增加 的 安全 问题 。 尽 管 网 上 购物 的 安全 风险 并 不 
比 到 商店 中 购物 大 ， 但 联机 攻击 也 在 日 益 增 加 。 现 在 恶意 黑客 能 够 在 自己 的 家 中 发 起 攻击 ， 
而 且 人 们 很 难 发 觉 。 网 上 攻击 通常 难以 被 监测 到 ， 即 使 被 监测 到 ， 也 很 难 追踪 到 攻击 的 发 源 
地 。 出 于 这 些 理由 ， 企 业 雇佣 渗透 测试 人 员 来 评估 其 网 上 资源 的 安全 性 。 这 种 测试 通常 包括 
攻 入 网 站 测试 以 及 评估 攻击 过 程 被 监测 到 的 即时 性 。 


5.4.1 Web 语言 简介 
互联 网 的 发 明 引 发 了 一 次 技术 爆炸 , 导致 了 一 场 提供 优势 Web 服务 器 和 后 台 语 言 的 竞赛 。 
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Web 技术 中 的 主要 语言 当 属 HIML， 由 于 已 比较 成 熟 ， 所 以 发 展 潜力 不 是 很 大 。Web 技术 竞 
争 最 激烈 的 是 服务 器 技术 和 脚本 语言 这 两 个 领域 。 微 软 、Sun 等 老牌 软件 企业 纷纷 推出 了 自 
己 专 属 的 Web 技术 , 而 且 这 些 技 术 最 重要 的 特征 是 跨 平台 , 这 就 给 保证 网 站 的 安全 带 来 了 不 
小 挑战 。 另 外 ， 渗 透 测试 人 员 或 Web 黑客 通常 能 在 Web 网 站 上 找到 演示 代码 ， 甚 至 找到 设 
计 欠 佳 、 不 安全 的 网 站 。 由 于 缺乏 对 Web 语言 、 设 计 及 服务 器 配置 的 完整 知识 ， 网 站 每 天 都 
面临 着 被 攻击 和 破坏 的 可 能 

1. HTML 


HTML(Hypertext Markup Language， 超 文本 标记 语言 ) 是 当今 格式 化 Web 页 面 的 事实 标 
准 。 当 我 们 打开 一 个 Web 页 面 时 ， 就 会 看 到 不 同 颜色 、 大 小 的 文字 、 按 钮 、 列 表 框 、 图 片 及 
到 其 他 页 面 的 链接 等 。 所 有 标准 的 Web 页 面 都 按照 HTML 预定 义 结构 来 编写 格式 。 当 我 们 
使 用 如 记事 本 这 样 的 简单 编辑 器 打开 HTML 文件 时 ， 就 可 以 看 到 用 于 格式 化 Web 页 面 的 源 
代码 。 

HTML 是 用 于 定义 Web 页 面 颜色 以 及 其 他 特性 的 一 种 语法 , 它 最 初 于 1989 年 由 Tim 
Bemers-Lee 发 明 。HTML 基于 更 古老 的 语言 SGML 进行 定义 , 并 简化 了 其 中 的 语言 元 素 。 
这 些 元 素 用 于 告诉 浏览 器 如 何在 用 户 的 屏幕 上 显示 数据 。HTML 没有 做 什么 特别 复杂 的 
东西 ， 也 没有 提供 闪烁 移动 内 容 的 标记 ， 所 有 内 容 都 是 静态 内 容 。 

2. DHTML 


DHTML 是 Dynamic HTML 的 缩写 , 意思 为 动态 HIML。 它 支持 控制 客户 端 浏览 器 中 的 
Web 页 面 ， 以 此 对 标准 的 HTML 进行 了 扩展 。 例 如 ， 当 访问 某 个 网 站 时 ， 如 果 看 到 这 个 网 
站 上 的 网 页 能 够 更 换 图 像 、 弹 出 对 话 框 、 当 鼠标 指针 移 到 上 面 时 链接 改变 颜色 等 ， 那 么 基本 

上 可 以 肯定 这 个 网 站 使 用 DHIML。 由 于 DHTML 能 够 增强 用 户 的 体验 ， 因 此 几乎 所 有 大 
中 型 网 站 都 使 用 了 它 。 


3. XML 


与 HIML 一 样 , XML(Extensible Markup Language, 可 扩展 标记 语言 ) 也 是 从 SGML 标准 
中 导出 的 。XML 用 于 描述 、 存 储 和 交换 数据 ， 这 样 ， 就 使 得 各 种 类 型 平台 上 的 数据 具备 了 相 
互 理 解 的 能 力 。 在 XML 出 现 之 前 ， 当 两 个 系统 交换 数据 时 ， 系 统 或 应 用 程序 以 只 有 这 两 个 
系统 能 够 理解 的 格式 发 送 数据 。 这 类 数据 格式 的 一 个 典型 示例 是 以 逗号 分 隔 值 的 文件 格式 
(Comma-Separated Value，CSV)。CSV 格式 的 文件 采用 逗号 或 Tab 字符 分 隔 原始 数据 。 当 我 
们 打开 一 个 别人 创建 的 CSV 文件 时 ,如 果 没 有 人 为 我 们 说 明 这 个 文件 , 那么 我 们 就 很 难 理解 
这 个 文件 中 数据 的 意义 。 类 似 CSV 格式 的 数据 生成 起 来 很 容易 , 但 不 具备 可 扩展 能 力 。 而 在 
XML 中 ， 由 于 其 对 数据 进行 了 描述 ， 因 此 该 格式 的 文件 易于 被 理解 。XML 格式 包含 两 部 分 
内 容 : 一 部 分 是 包含 数据 的 文档 ， 另 一 部 分 是 描述 文档 中 所 存储 数据 的 数据 类 型 的 文档 类 型 
定义 DTD，Document Type Definition)。 


4. XHTML 


XHTML 是 一 种 为 适应 XML 而 重新 改造 的 HIML, 是 HIML 4.0 的 后 续 版 本 ,也 是 HIML 40 
的 重新 组 织 。 浏览 器 开发 者 可 以 选择 两 种 不 同 的 方式 达到 不 再 设计 私有 标签 的 目的 : 将 XML 
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代码 段 包含 在 XHTML 代码 里 ， 或 将 XHTML 代码 段 包 含 在 XML 代码 里 。 虽 然 目前 使 用 
XHTML 的 网 站 还 不 多 , 但 它 代 表 着 未 来 的 发 展 趋 势 。 作 为 渗透 测试 人 员 , 应 该 关注 XHTML 
的 内 容 及 其 发 展 ， 从 而 寻找 新 的 安全 漏洞 。 


5. JavaScript 


JavaScript 是 一 种 脚本 语言 , 它 最 初 的 名 字 是 LiveScript。 JavaScript 和 Java 没 有 任何 关系 ， 
它 更 不 是 Java。Sun Microsystems 创造 的 Java 是 一 种 编译 语言 ，Netscape 的 Brendan Eich 于 
1995 年 创造 的 JavaScript 是 一 种 客户 端的 解释 语言 。 两 者 之 间 的 唯一 关系 就 是 ， 出 于 市 场 营 
销 目 的 ， 它 们 取 了 相似 的 名 字 。 

JavaScript 已 成 为 Web 页 面 开发 者 和 浏览 器 生产 厂商 运用 的 客户 端 脚本 编程 的 标准 。 这 
个 语言 支持 在 Web 页 面 上 直接 与 用 户 交互 而 不 必 在 客户 端 和 服务 器 之 间 交 换 数 据 。 例 如, 所 
有 烦人 的 弹出 窗口 、 警 告 框 、 评 估 电 子 邮 件 地 址 有 效 性 的 表单 ， 或 许 都 是 某 些 编写 很 好 的 
JavaScript 代码 的 成 果 。 可 以 这 么 说 ， 只 有 想不到 的 、 没 有 做 不 到 的 ，JavaScript 几乎 有 无 限 
的 能 力 。 


6. JScript 


很 多 人 都 误 以 为 JScript 就 是 JavaScript 的 缩写 ， 事 实 并 非 如 此 。 下 面 介 绍 一 下 它 的 来 
历 ， 在 Web 脚本 语言 世界 中 第 一 个 诞生 的 语言 是 NetScape 创造 的 JavaScript。 到 了 1996 
年 11 月 ，ECMA 开始 根据 JavaScriptl.1 的 规范 ， 着 手 制定 Web 脚本 语言 的 标准 ， 这 个 标 
准 首 次 发 表 于 1997 年 6 月 公布 的 ECMA-262 号 白皮书 。 此 后 ， 所 有 浏览 器 厂商 才 终 于 有 
了 一 个 可 遵循 的 规范 ， 让 JavaScript 的 市 场 接受 度 向 前 迈 了 一 大 步 。 

拥有 平台 优势 的 Microsoft 原本 希望 能 以 VBScript 与 JavaScript 在 客户 端 平台 上 一 决 高 
下 ， 可 惜 市 场 反 应 并 不 如 预期 的 那样 。 因 此 Microsoft 很 快 改变 策略 ， 其 策略 很 高 明 一 一 “如 
果 不 能 打败 它 ， 就 迎 向 它 ”。Microsof 的 工程 师 们 在 最 短 时 间 内 ， 根 据 ECMA-262 标准 制定 
了 JScript， 并 且 让 不 断 推陈出新 的 浏览 器 工具 持续 支持 JScript 版 本 的 更 新 。 灵 活 的 市 场 策略 
让 JScript 颇具 生命 力 ， 也 开始 受到 网 页 工程 师 们 的 青睐 。 


7. VBScript 


Visual Basic 是 一 种 易学 易 用 的 高 级 语言 ， 它 于 1991 年 首次 发 布 。 从 Visual Basic 中 ， 微 
软 创建 了 一 种 简化 的 脚本 语言 ， 称 为 VBScript。 与 JavaScript 相似 ，VBScript 学 起 来 简单 ， 
并 且 易 于 使 用 ， 得 到 了 广泛 支持 。 现 在 网 络 上 有 很 多 专门 提供 VBScript 示例 的 网 站 ， 他 们 提 
供 了 VBScript 的 众多 应 用 。VBScript 在 微软 系统 的 很 多 方面 得 到 了 应 用 ， 如 ASP 页 面 、 客 
户 端 DHTML、Windows、Office 系统 编程 等 。VBScript 存在 的 问题 是 ， 它 仅 能 工作 在 微软 的 
Windows 平台 上 ， 不 能 在 其 他 平台 上 使 用 。 但 由 于 微软 产品 在 市 场 上 的 强势 地 位 ， 这 点 问题 
实际 上 也 就 显得 微不足道 了 。 

8. Perl 


Perl(Practical Extraction and Report Language) 是 一 种 很 古老 的 脚本 语言 ， 它 于 1987 年 由 
Larry Wall 发明。 最初 的 Web 应 用 大 多 是 用 Perl 编写 的 。Perl 很 像 C 语言 ， 使 用 非常 灵活 ， 
对 于 文件 的 操作 和 处 理 像 C 语言 一 样 方便 快捷 。Perl 原名 Pearl， 但 在 官方 发 表 前 ， 拉 里 . 沃 
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尔 发 现 已 经 有 一 个 程序 语言 叫 Pearl， 他 就 将 这 个 程序 语言 命名 为 Perl。Perl 在 初期 发 展 十 分 
缓慢 ， 但 不 久 就 得 到 了 广泛 应 用 ， 几 乎 每 个 主流 操作 系统 都 支持 Perl， 包 括 Windows、UNIX 
和 Linux、IBM 的 MVS、Cray 超级 计算 机 、MacOS、DEC 的 VMS、OS/2、AS/400 等 。 

与 VBScipt 和 JavaScript 一 样 ，Perl 也 是 一 种 解释 型 语言 。 但 为 了 隐藏 源 代 码 ， 也 可 以 
做 一 定 程度 的 编译 。Perl 功能 强大 、 使 用 灵活 ， 使 用 它 几 乎 可 以 做 任何 事情 ， 包 括 服 务 器 端 
的 CGI 脚本 编程 、 编 写 如 Whisker 这 样 的 黑客 工具 、 甚 至 编写 独立 的 应 用 程序 。 


9. ASP 


ASP(Active Server Page， 动 态 服务 器 端 页 面 ) 是 一 种 含有 VBScript 或 JScript 脚本 程序 代 
码 的 网 页 ， 其 网 页 文件 的 后 缀 是 .asp。 它 是 服务 器 端的 技术 ， 用 于 让 Web 服务 器 根据 用 户 的 
要 求 动态 生成 页 面 。 比 如 你 在 搜索 引擎 中 输入 了 参数 “ 鱼 ”， 那 么 服务 器 返回 有 关 鱼 的 信息 
的 搜索 结果 页 面 ; 如 果 另 一 个 人 在 同一 个 页 面 中 输入 了 “ 狗 ”， 那么 返回 有 关 狗 的 搜索 结果 。 
这 样 根据 不 同 的 要 求 动态 生成 不 同 Web 页 面 的 技术 就 是 服务 器 端的 技术 ， 它 们 的 行为 都 与 
ASP 类 似 。 

10. CGI 


CGI 是 通用 网 关 接口 (Common Gateway Interface) 的 缩写 ， 它 是 第 一 个 在 服务 器 端 生成 动 
态 页 面 内 容 的 技术 。CGI 并 不 使 用 VBScript 或 JavaScript 来 创建 页 面 ， 而 是 使 用 两 种 更 古老 
一 些 的 语言 来 创建 页 面 , 它们 是 Perl 或 C。 实际 上 ，CGI 可 以 使 用 下 述 任何 语言 来 创建 页 面 ; 
Any of the UNIX shells，AppleScript，C 或 C++，Fortran，Perl，TCL 或 Visual Basic。 

CGI 通常 依靠 名 为 cgi-bin 的 目录 作为 指示 符 来 确定 在 将 内 容 返 回 给 客户 端 之 前 什么 时 
候 执 行 代码 。CGI 本 身 并 不 是 一 种 真正 的 编程 语言 ， 而 是 说 明 如 何 使 用 其 他 语言 来 创建 内 容 
的 指南 。Perl 是 CGI 最 常 使 用 的 语言 ， 程 序 员 创建 Perl 代码 文件 ， 扩 展 名 为 pl， 之 后 将 代码 
文件 放置 在 cgi-bin 目录 下 。 当 请 求 某 个 pl 文件 时 ，Web 服务 器 一 旦 在 目录 cgi-bin 下 找到 这 
个 文件 ， 就 开始 执行 它 。 

.BHP 


PHP 最 初 称 为 Personal Home Page Tools, 也 称 为 Professional Homepages, 现在 的 规范 称 
为 PHP Hypertext Preprocessor， 它 由 Rasmus Lerdorf 于 1995 年 发 明 。PHP 是 一 种 开放 源 代码 
的 脚本 编程 语言 ， 主 要 用 于 Web 服务 器 的 服务 器 端 应 用 程序 编程 ， 用 于 动态 网 页 设计 。PHP 
可 用 于 替代 微软 的 ASP/VBScriptJScript 体系 、Sun 微 系统 公司 的 JSP/Java 体系 及 CGL/Perl 
体系 等 。 它 是 一 种 嵌入 在 HIML 页 面 中 的 脚本 语言 。 

PHP 是 目前 使 用 最 广泛 的 服务 器 端 编程 语言 之 一 ， 它 通常 与 MySQL 数据 库 和 Apache 
Web 服务 器 一 起 使 用 ， 从 而 打造 了 一 个 全 部 由 免费 软件 组 成 的 Web 服务 器 端 方案 。PHP 文 
件 的 扩展 名 为 php。 与 ASP 相似 ，PHP 也 在 HIML 页 面 中 用 标记 把 代码 括 起 来 ， 它 使 用 的 
开始 标记 为 “<?php”， 结 束 标记 为 “?>”。 


12. ColdFusion 


ColdFusion 于 1995 年 7 月 诞生 在 Allaire 公司 ， 它 是 由 当时 的 天 才 二 兄弟 本 所 开发 ， 大 
[负责 前 端 程序 与 界面 ， 弟 弟 负责 后 端 引擎 。 因 为 早期 使 用 Perl 和 CGI 编写 网 页 相当 不 便 ， 
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既 不 容易 学 习 、 也 不 够 直观 ， 更 别提 复杂 又 庞大 的 项 目 系统 了 ， 开 发 与 维护 都 给 程序 员 带 来 
了 极 大 困难 。 因 此 本 兄弟 产生 了 一 个 想法 , 试图 以 最 简易 而 又 直观 的 语言 来 展现 繁杂 高 深 的 
技术 与 功能 ,这 就 催生 了 ColdFusion。2001 年 Allaire 公司 被 Macromedia 并 购 ,2005 年 Macromedia 
又 被 Adobe 并 购 。Adobe 对 外 宣称 ColdFusion 发 展会 更 强大 ， 社 区 会 更 活跃 。 

ColdFusion 使 用 了 一 种 被 称 为 ColdFussion Markup Language(CFML) 的 语言 , 将 标记 放置 
在 HTML 页 面 中 ， 做 法 与 ASP 与 PHP 类 似 。 当 服务 器 从 硬盘 上 读 取 .cfm 页 面 时 ， 服 务 器 从 
中 寻找 以 符号 “<CF” 开 始 的 标记 ， 并 处 理 标记 中 包含 的 代码 。 


13. Java 


Java 语言 最 初 称 为 Oak， 是 一 个 旨 在 解决 所 有 问题 的 语言 。 它 已 经 出 现 了 很 长 时 间 ， 但 
还 没有 像 Sun 所 希望 的 那样 占领 全 世界 。Java 语言 由 Sun Microsystems 的 James Gosling 于 
1991 年 发 明 ， 目 标定 位 为 一 种 未 来 的 语言 ， 号 称 一 次 编写 ， 处 处 运行 。 这 个 想法 很 不 错 ， 并 
且 在 某 种 程度 上 它 几乎 达到 了 这 个 目标 。 但 是 ，Java 代码 依然 还 存在 一 些 兼容 性 问题 ， 并 且 
还 存在 一 个 速度 较 慢 的 恶名 。 

Java 是 一 种 面向 对 象 的 语言 ， 在 众多 商业 网 站 中 都 得 到 了 应 用 。Java 语言 可 以 分 为 两 个 
主要 部 分 : 客户 端 Java 和 服务 器 端 Java。 下 面 分 别 予 以 介绍 。 

e 客户 端 Java 

客户 端 Java 在 客户 端 运 行 ， 其 通常 做 法 是 : 将 Java 编写 的 代码 放置 在 扩展 名 为 java 的 
文件 中 ， 之 后 将 这 个 文件 编译 为 字 节 码 并 保存 在 扩展 名 为 .class 的 文件 中 ， 最 后 ， 在 HIML 
页 面 中 使 用 标记 <Applet> 引 用 字 节 码 文件 。 当 客户 端 浏览 器 打开 这 样 的 页 面 时 ， 下 载 并 执行 
Java 字 节 码 。 客 户 端 Java 的 优点 之 一 是 采用 字 节 码 让 人 不 容易 读 懂 .class 中 的 代码 ， 从 而 增 
加 了 理解 代码 的 难度 。 尽 管 这 种 通过 模糊 实现 安全 性 的 方法 存在 一 定 的 优势 ， 但 缺点 在 于 ， 
要 执行 这 些 代码 的 客户 端 必须 下 载 并 安装 Java 虚拟 机 ， 以 便 编 译 和 执行 Java 代码 。 

e 服务 器 端 Java 

服务 器 端 Java 使 用 的 模型 与 ASP、PHP 和 ColdFusion 这 样 的 服务 器 端 系 统 使 用 的 模型 
几乎 完全 相同 。 当 服务 器 读 入 扩展 名 为 jsp 的 文件 时 ， 该 文件 被 发 送 给 应 用 服务 器 并 在 该 服 
务 器 上 执行 servlet， 然 后 将 结果 返回 给 客户 端 浏览 器 。 当 今 市 场 上 的 应 用 服务 器 很 多 ， 但 占 
据 最 大 市 场 份额 的 5 个 应 用 服务 器 为 Macromedia 的 耻 un4，BEA 的 WebLogic，Oracle 的 
Jdeveloper，Sun 的 Java Web Server 和 IBM 的 WebSphere。 由 于 Java 程序 可 以 编译 为 字 节 码 ， 
因此 很 多 程序 开发 人 员 和 系统 管理 员 会 认为 Java 程序 很 安全 。 但 需要 注意 的 是 ， 使 用 反 编 译 
器 依然 可 将 字 节 码 反 编译 成 Java 源 代码 。 


5.4.2 ”网 站 结构 


在 介绍 如 何 攻击 Web 服务 器 之 前 ， 应 该 先 了 解 一 下 Web 流量 的 交互 过 程 。 在 浏览 器 的 
地 址 栏 中 输入 网 站 的 地 址 后 ， 如 http://www.google.com， 客 户 端 计算 机 首先 向 附近 的 DNS 服 
务 器 发 送 一 条 DNS 请 求 。 在 这 个 请 求 中 , 客户 端 计算 机 询问 google.com 站 点 的 卫 地 址 .DNS 
服务 器 返回 指定 网 站 的 卫 地 址 ， 比 如 66.249.89.99。 接 下 来 ， 浏 览 器 创建 一 个 套 接 字 ， 它 是 
全 地 址 与 目标 端口 的 组 合 ,具体 到 HTTP 中 ， 目 标 端口 号 为 80。 这 样 ， 创 建 的 套 接 字 地 址 为 
66.249.89.80。 然 后 ，Web 浏览 器 向 套 接 字 地 址 66.249.89.99: 80 发 送 一 条 HITP GET 请 求 ， 
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位 于 这 个 地 址 的 Web 服务 器 侦 听 到 这 个 请 求 后 ， 根 据 情况 返回 下 述 响应 码 之 一 : 200 OK， 
404 Page Not Found，403 Access Denied 和 302 Object Moved。 如 果 响 应 码 为 200， 那 么 所 请 
求 的 数据 被 返回 给 浏览 器 , 并 在 浏览 器 中 显示 。 所 请 求 的 数据 通常 采用 标记 语言 进行 格式 化 ， 
如 XML、HIML 和 SGML 。 

对 Web 服务 器 可 以 进行 两 种 类 型 的 攻击 : 针对 Web 服务 器 的 攻击 和 基于 Web 认证 的 攻 
击 。 针 对 Web 服务 器 的 攻击 包括 常用 服务 器 的 漏洞 利用 ， 如 Apache Web 服务 器 和 Microsoft 
Intemet Information Server(IS)， 攻 击 目的 通常 是 上 传 文件 或 代码 、 排 毁 服务 器 或 获取 私有 信 
息 。 而 基于 Web 认证 的 攻击 旨 在 获取 对 网 站 的 非 授权 访问 , 通常 的 做 法 是 使 用 口令 暴力 破解 。 

在 Web 攻击 中 最 困难 的 是 保证 Web 通信 和 能够 安全 进行 。 但 不 幸 的 是 ， 太 多 开发 人 员 在 
其 编写 的 代码 中 遗留 了 众多 可 以 利用 的 问题 ， 太 多 的 服务 器 没有 及 时 地 打 补 丁 ， 这 就 产生 了 
本 不 应 该 产生 的 脆弱 系统 。 正 是 这 种 漫不经心 的 态度 给 攻击 者 提供 了 众多 容易 攻击 的 系统 。 
作为 渗透 测试 人 员 ， 就 是 要 测试 这 种 忽视 程度 ， 以 便 保护 网 站 的 安全 。 


5.4.3 ”电子 商务 架构 


提供 电子 商务 服务 的 公司 在 网 站 中 采用 的 架构 可 以 分 为 两 种 形式 : 单 服务 器 架构 与 分 层 
架构 。 在 小 网 站 中 通常 采用 单 服务 器 架构 。 在 这 个 架构 中 , 所 有 的 Web 服务 器 都 在 一 台 物 理 
服务 器 上 。 这 种 架构 存在 很 大 的 风险 ， 原 因 在 于 服务 器 的 一 个 部 件 被 突破 后 ， 整 个 服务 器 及 
其 所 有 服务 都 被 突破 了 。 作 为 渗透 测试 人 员 ， 或 许 没有 多 少 机 会 去 测试 单 服务 器 的 电子 商务 
网 站 。 因 为 如 果 一 个 公司 关心 其 网 站 的 安全 性 并 雇 得 起 渗透 测试 人 员 ， 那 么 它 就 很 有 可 能 有 
足够 的 资本 构造 多 层 架 构 的 网 站 。 在 分 层 架 构 中 ，Web 服务 分 散在 多 台 主 机 上 ， 并 且 为 了 提 
高 可 用 性 通常 都 会 采用 宛 余 机 制 。 

在 理解 了 Web 语言 和 电子 商务 架构 的 工作 方式 后 ， 就 可 以 开始 学 习 一 些 漏洞 的 识别 和 
利用 知识 了 。 下 面 将 介绍 两 个 最 常用 的 Web 服务 器 : Apache 和 IIS。 


1. Apache HTTP 服务 器 漏洞 


Apache HTTP 服务 器 是 在 非 营利 性 组 织 Apache 软件 基金 会 (ASF) 的 指导 下 开发 的 。 根 
据 2007 年 2 月 份 的 Netcraft 调查 ，Apache 服务 器 的 市 场 份额 为 58.70%，Microsoft IIS 的 市 
场 份额 为 31.09%。Apache 不 像 IS 那样 易 受 攻击 ， 该 服务 器 上 的 绝 大 多 数 漏洞 都 出 现在 其 
Windows 端口 上 ， 但 这 个 端口 不 像 原始 的 UNIX/Linux 版 本 那样 流行 。 
人 们 一 直 都 在 发 现 新 的 漏洞 ， 其 中 绝 大 多 数 都 与 拒绝 服务 攻击 (DoS，Denial of Service) 
相关 。 下 面 给 出 一 些 针对 Apache Web 服务 器 的 常见 攻击 : 
e 内 存 消耗 DoS 一 一 攻击 者 发 送 一 个 带 有 MIME 头 的 HITP GET 请 求 ， 其 中 包含 了 能 
导致 服务 器 崩溃 的 大 量 空格 字符 。 
e SSL 无 限 循环 一 一 攻击 者 通过 终止 SSL 并 引发 子 进程 进入 无 限 循环 状态 而 发 起 DoS 
攻击 。 
e 绕 过 基本 认证 一 一 即使 攻击 者 未 被 授权 访问 服务 器 ， 他 也 能 获取 对 受 限 资源 的 访问 。 
这 种 情况 仅 在 Apache2.0.51 中 发 现 ， 原 因 在 于 阻止 Satisfy 命令 出 现 的 代码 存在 一 个 
缺陷 ， 而 Satisfy 命令 授权 用 户 使 用 用 户 名 和 口令 或 客户 端 他 地 址 访问 服务 器 。 
e IPv6 URI 堆 溢出 一 一 利用 Codenomicon( 一 家 著名 的 自动 软件 测试 工具 厂商 ) 开 发 的 
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2. lIS Web 服务 器 


微软 一 直 都 在 大 踏步 地 加 强 其 Web 平台 的 安全 性 。 每 一 个 版 本 的 IS 都 比 前 一 个 版 本 更 
安全 些 ， 当 前 版 本 对 网 站 的 方方面面 都 提供 了 保护 。 但 是 ， 每 一 个 版 本 也 都 增加 了 复杂 性 ， 
因此 也 就 增加 了 服务 器 未 打 补丁 和 不 安全 的 机 会 。 

IIS 不 仅 是 一 个 简单 的 Web 服务 器 ， 它 还 提供 了 许多 服务 ， 主 要 包括 : 

FTP 服务 
NNTP 服务 
Internet Printing Protocol(IPP， 互 联网 打印 服务 ) 
SMTP 服务 
BITS( 用 于 Windows 更 新 ) 
Intemet Information Services Manager 
FrontPage 2002 Server Extensions 

: WWW 服务 中 ， 提 供 了 下 述 功能 : 
活动 服务 器 页 面 (Active Server Page) 
服务 器 端 包含 
Webdav 发 布 
WWW 服务 
Intemet 数据 连接 器 (IDC) 
远程 桌面 Web 连接 

e 远程 维护 

与 其 他 所 有 服务 器 一 样 ， 应 该 关闭 不 需要 的 服务 。 许 多 网 站 被 突破 的 主要 原因 就 是 由 于 
这 个 网 站 的 服务 器 上 开放 了 多 余 服 务 ， 如 远程 维护 或 PP。 由 于 这 些 服 务 没有 被 使 用 ， 所 以 
通常 都 使 用 了 默认 设置 ， 这 些 设置 为 攻击 者 打开 了 大 门 。 

针对 IIS 的 常用 攻击 包括 : 

® Showcode.asp 

。 特权 执行 

e 缓冲 区 溢出 


5.4.4 ”Web 页 面 欺骗 (钓鱼 网 站 ) 


Web 页 面 欺骗 也 称 为 钓鱼 (Phishing)， 这 是 社会 工程 的 一 种 手段 ， 它 正成 为 恶意 黑客 收集 
户 账 户 信息 的 流行 方法 。 下 面 给 出 了 进行 Web 页 面 欺 骗 的 基本 步骤 ; 
步骤 1: 使 用 如 Wget 或 Teleport Pro 这 样 的 网 站 下 载 工具 下 载 要 伪装 的 网 站 ; 
步骤 2: 根据 需要 修改 网 站 ， 以 便 能 够 从 不 留意 的 用 户 那里 收集 信息 ， 如 信用 卡 详细 资 
料 等 ; 
步骤 3: 开通 网 站 ， 使 用 与 要 伪装 的 原 网 站 类 似 的 域名 ， 如 使 用 名 称 http://www.ebys.net 
替代 原 网 站 http:/www.ebay.comi; 
步骤 4: 找 出 被 攻击 者 网 站 驻 留 主机 的 中 地 址 ， 并 将 这 个 地 址 编码 为 32 位 双 字 。 黑 客 
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可 以 通过 ping 网 站 或 使 用 如 NSLookup、dig、host 这 样 的 实用 程序 得 到 驻 留 主机 的 他 地址 ; 
步骤 5: 这 是 一 个 可 选 步骤 ， 黑 客 还 可 以 使 用 页 面 名 称 的 十 六 进 制 表 示 来 隐藏 Web 页 面 
的 名 称 。 比 如 ， 假 设 页 面 名 为 mypagehtm， 通 过 采用 十 六 进 制 ASCI 码 蔡 代 其 中 的 一 些 字 母 ， 
就 能 够 隐藏 页 面 的 名 称 。 字 母 t+ 的 ASCII 值 为 116， 其 十 六 进 制 值 为 0x74。 这 样 ， 黑 客 就 可 以 
把 前 面 提 到 的 页 面 名 称 改 为 mypageh96074m， 达 到 隐藏 希望 用 户 访问 文件 类 型 的 目的 ; 
步骤 6: 精心 制作 电子 邮件 ， 请 求 用 户 访问 自己 伪造 的 Web 站 点 。 这 里 ， 代 蔡 链 接 链接 
到 实际 网 站 ， 默 认 链接 链接 到 伪造 网 站 上 。 


5.4.5 ”Cookie 猜测 与 隐藏 字段 


很 多 网 站 使 用 Cookie 来 跟踪 用 户 的 活动 或 实现 自动 登录 。Cookie 是 一 个 简单 的 文本 文 
件 ， 通 常 包 含 ID 值 ， 恶 意 黑客 可 修改 这 个 值 并 猜测 一 个 值 来 获取 账户 的 非 授权 访问 。 

在 Web 页 面 上 可 以 使 用 隐藏 字段 来 隐藏 信息 ， 通 常情 况 下 ， 隐 藏 字段 包含 的 信息 都 是 
一 些 关键 信息 ， 如 用 户 名 和 口令 。 隐 藏 字段 存在 的 问题 是 它 并 不 是 真正 的 隐藏 ， 只 是 在 页 面 
上 不 显示 出 来 而 已 ， 只 要 知道 查看 它们 的 方法 ， 就 能 把 隐藏 字段 找 出 来 。 查 看 的 方法 是 ， 从 
浏览 器 中 选择 查看 源 代码 的 菜单 项 , 或 者 使 用 网 站 抓 取 程序 下 载 网 站 , 然后 脱 机 查看 源 代码 。 
通过 浏览 代码 ， 就 可 以 知道 隐藏 字段 的 作用 和 功能 。 


5.4.6 暴力 攻击 


绝 大 多 数 人 想到 Web 攻击 时 ， 就 会 想到 摧毁 网 站 的 账号 。 然 而 ， 这 并 不 是 一 件 容易 的 
事 ， 其 实 它 与 猜测 口令 一 样 困难 。 口 令 猜 测 可 以 手工 进行 ， 就 是 想象 别人 可 能 使 用 的 口令 ， 
也 可 以 通过 软件 程序 自动 地 猜测 。 

软件 口令 破解 工具 依赖 两 种 技术 : 字典 攻击 和 暴力 攻击 。 字 典 攻 击 需 要 一 个 包含 单词 的 
字典 文件 ， 这 里 的 单词 通常 是 常用 单词 和 数字 的 组 合 ， 如 password123 等 ， 软 件 程序 使 用 字 
典 文 件 猜测 网 站 的 口令 。 暴 力 攻击 需要 花费 的 时 间 更 长 一 些 ， 原 因 在 于 它 检查 数字 、 字 母 及 
特殊 字符 的 每 一 种 组 合 。 

Web 认证 的 方式 有 两 种 : 

1) HITP 基本 认证 : 基本 认证 是 提供 网 站 访问 的 一 种 简单 认证 方法 。 口 令 以 明文 形式 发 
送 给 服务 器 ， 如 果 服 务 器 是 Windows 系统 ， 口 令 通 常 保存 在 服务 器 的 安全 账户 数据 库 中 。 
Web 开发 人 员 可 以 很 容易 地 建立 基本 认证 ， 因 此 ， 这 种 认证 方法 在 一 些小 型 、 简 单 网 站 上 经 
常 看 到 。 

2) HTTP 基于 表单 的 认证 : 这 种 形式 的 认证 也 以 明文 形式 将 用 户 名 和 口令 发 送 给 服务 
器 。 但 这 个 方法 不 与 SAM 账户 数据 库 链 接 ， 而 是 使 用 自己 的 账户 数据 库 (通常 是 SQL 数据 
库 )。 基 于 表单 的 认证 要 求 设计 定制 的 Web 页 面 ， 因 此 需要 做 更 多 的 工作 。 这 种 认证 是 大 
型 网 站 最 常 采用 的 方式 。 

作为 渗透 测试 者 ， 可 能 会 遇 到 这 两 种 类 型 的 认证 。 基 本 认证 常 应 用 在 网 络 设备 上 ， 如 
Cisco Visual Switch Manager(VSM), 该 系统 运行 在 Catalyst 交换 机 上 。 基于 表单 的 认证 常常 在 
网 站 认证 上 ， 它 的 账户 信息 通常 保存 在 数据 库 中 。 了 解 将 要 攻击 的 系统 所 使 用 的 认证 类 型 很 
重要 ,因为 认证 类 型 指明 了 破解 登录 凭据 所 需要 使 用 的 实用 程序 的 类 型 。 破 解 Web 口令 的 两 
个 常用 实用 程序 是 Brutus 和 HTTP Brute Forcer， 这 两 个 程序 都 是 由 Munga Bunga 开发 的 。 
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5.4.7 ”获取 网 站 信息 


Google 是 一 个 寻找 脆弱 系统 及 其 他 信息 的 优秀 工具 。 在 Google 中 搜索 常见 的 出 错 消息 ， 
就 能 够 找到 与 这 个 漏洞 相关 的 所 有 网 站 。 某 些 登录 入 口 为 系统 管理 员 提供 了 完成 各 种 管理 任 
务 的 访问 点 ， 而 从 这 些 访问 点 处 可 以 获取 服务 器 上 在 用 软件 的 有 关 信 息 ， 这 就 为 拥有 该 软件 
漏洞 利用 代码 的 黑客 打开 了 方便 之 门 。 因 此 ， 本 小 节 将 着 重 介绍 服务 器 上 的 信息 是 如 何 泄露 
的 以 及 防止 这 些 信息 泄露 都 可 采取 哪些 方法 。 


1. 查看 目录 列表 


目录 列表 是 一 种 列 出 Web 服务 器 上 文件 和 目录 的 Web 页 面 。 这 种 页 面 被 设计 为 通过 单 
击 目录 链接 进行 来 回 导航 的 形式 ， 它 通常 包括 一 个 描述 当前 目录 的 标题 、 一 组 可 以 单 击 操作 
的 文件 和 目录 以 及 通常 存在 于 目录 底部 的 一 个 注脚 。 目录 列表 在 分 析 Web 服务 器 上 的 应 用 时 
十 分 重要 ， 因 为 其 底部 的 服务 器 标志 显示 了 正在 运行 的 Web 服务 器 软件 的 细节 。 


2. Web 服务 器 软件 出 错 消息 


出 错 消 息 包含 了 大 量 有 用 信息 ， 有 时 甚至 可 使 用 各 种 出 错 消息 来 寻找 运行 特定 版 本 软件 
的 服务 器 。 下 面 介绍 一 下 Web 服务 器 本 身 生成 的 出 错 消 息 。 

® Microsoft Intemet Information Server(IIS) 

寻找 出 错 消 息 的 最 佳 方法 是 了 解 服务 器 能 够 生成 什么 样 的 消息 。 收 集 这 些 消 息 可 以 通过 
考察 服务 器 源 代码 、 配 置 文 件 的 方法 ， 也 可 以 通过 在 服务 器 上 引发 错误 的 方法 。 但 最 佳 的 方 
法 是 考察 出 错 页 面 的 源 代 码 。 

e Apache Web 服务 器 

通过 搜索 服务 器 生成 的 出 错 消息 也 可 以 定位 Apache Web 服务 器 。 


3. 应 用 软件 出 错 消息 


前 面 介绍 了 Web 服务 器 产生 的 出 错 消 息 。 很 多 情况 下 ， 运 行 在 Web 服务 器 上 的 应 用 软 
件 也 会 产生 能 够 披露 服务 器 信息 的 出 错 消息 。 互联 网 上 有 数 不 清 的 Web 应 用 程序 , 每 一 个 程 
序 都 会 产生 或 多 或 少 的 出 错 消息 ,诸如 SPI Dynamic WebInspect 这 样 的 专用 Web 评估 工具 擅 
长 完成 详细 的 Web 应 用 程序 评估 ， 这 就 使 得 利用 Google 搜索 应 用 程序 的 出 错 消息 显得 用 处 
不 大 。 但 本 书 建议 搜索 出 错 消 息 ， 原 因 是 包含 在 出 错 消息 中 的 数据 不 应 该 被 忽略 。 前 面 已 经 
介绍 了 一 些 出 错 消息 ， 后 续 章 节 还 将 介绍 更 多 这 方面 的 内 容 。 虽 然 本 书 不 可 能 深入 探讨 这 个 
主题 ， 但 会 全 力 展 现 Google 定位 这 些 区 分 性 很 强 的 出 错 消息 的 能 力 。 


4. 默认 页 面 与 默认 文档 


定位 特定 类 型 服务 器 或 Web 软件 的 另 一 种 方法 是 搜索 默认 Web 页 面 。 绝 大 多 数 Web 软 
件 (包括 Web 服务 器 本 身 ) 都 带 有 一 个 或 多 个 默认 或 猜测 页 面 ， 这 些 页 面 用 于 帮助 站 点 管理 员 
测试 Web 服务 器 或 应 用 程序 的 安装 。 通过 提供 简单 的 测试 页 面 , 管理 员 能 够 轻松 地 把 浏览 器 
连接 到 自己 的 Web 服务 器 上 ， 从 而 评测 Web 软件 安装 的 正确 性 。 某 些 操作 系统 甚至 自 带 了 
已 经 安装 好 的 Web 服务 器 ， 而 此 时 机 器 的 主人 甚至 根本 不 知道 自己 的 机 器 上 运行 着 Web 服 
务 器 。 这 种 不 常见 的 行为 可 让 攻击 者 准确 地 判断 出 该 Web 软件 没有 得 到 良好 地 维护 ,并且 不 
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安全 。 再 进一步 推广 一 下 ， 由 于 维护 很 差 ， 攻 击 者 还 可 以 假定 该 服务 器 的 整个 操作 系统 都 存 

某 些 情况 下 ，Google 在 Web 服务 器 刚刚 安装 后 就 抓 取 其 页 面 ， 并 显示 一 组 默认 页 面 。 
此 时 , 在 Google 抓 取 站 点 内 容 与 站 点 实际 放置 内 容 之 间 就 存在 一 个 窗口 期 , 这 就 意味 着 网 页 
的 实际 页 面 与 Google 对 该 网 页 的 快照 不 一 致 。 这 一 点 对 Google 黑客 来 说 也 很 有 用 ， 因 为 过 
去 的 默认 页 面 也 能 很 好 地 用 于 勾勒 服务 器 的 特征 ， 但 需要 提醒 的 是 ， 本 质 上 所 有 的 搜索 内 容 
都 是 Google 的 缓存 页 面 。 不 管 服务 器 安装 默认 页 面 的 原因 是 什么 ， 但 总 有 黑客 对 Google 搜 
索 到 的 默认 页 面 感 兴趣 。 

尽管 IIS 的 每 一 个 版 本 都 会 显示 不 同 的 默认 Web 页 面 ， 但 某 些 情况 下 ， 服 务 包 或 修补 包 
会 修改 默认 页 面 的 内 容 。 此 时 ， 细 微 的 页 面 变化 也 可 以 植 入 到 搜索 条 件 中 ， 这 样 不 仅 可 以 搜 
索 到 操作 系统 版 本 和 Web 服务 器 版 本 ,而且 可 以 得 到 服务 包 版 本 与 安全 补丁 版 本 。 这 些 信息 
对 于 那些 致力 于 不 仅 攻击 Web 服务 器 ， 而 且 要 攻击 到 Web 服务 器 之 外 并 进入 操作 系统 本 身 
的 攻击 者 来 说 简直 就 是 无 价 之 宝 。 绝 大 多 数 情况 下 ， 控 制 了 操作 系统 的 攻击 者 能 比 仅 控制 
Web 服务 器 的 攻击 者 造成 更 大 的 破坏 。 

通常 情况 下 ，Web 服务 器 软件 通常 都 带 有 安装 在 Web 目录 下 的 手册 和 文档 。 攻 击 者 也 
可 以 利用 这 些 文档 来 了 解 服务 器 的 信息 或 确定 运行 在 上 面 的 Web 软件 的 信息 。 


5.4.8 ”Web 攻击 的 检测 与 防止 


检测 Web 攻击 可 以 很 简单 ， 仅 需要 浏览 一 下 Web 服务 器 的 日 志 中 是 否 存 在 数 十 次 、 其 
至 数 百 次 的 文件 和 目录 访问 企图 。 也 可 更 进一步 ， 将 日 志文 件 与 功能 完善 的 网 络 IDS( 比 如 
Cisco ID 传感器 ) 结 合 起 来 ， 这 能 为 管理 员 提供 更 详细 的 攻击 信息 。 

目录 遍历 是 针对 Windows IS 4.0 和 5.0 的 一 种 常见 攻击 方法 ， 它 让 黑客 能 够 执行 或 访问 
Web 服务 器 文件 夹 之 外 的 文件 。 例 如 ， 目 录 遍 历 让 黑客 能 够 执行 cmd.exe/c 命令 来 提取 目录 
信息 或 运行 Web 服务 器 上 任何 可 用 的 可 执行 程序 。 考虑 一 下 基本 攻击 , 观察 日 志文 件 中 记录 
了 什么 内 容 。 常 用 的 CGI 漏洞 扫描 器 是 Whisker。 与 其 他 自动 测试 工具 一 样 ， 该 工具 通常 也 
是 对 Web 服务 器 执行 每 一 种 可 能 的 攻击 , 从 而 触发 大 量 的 警报 和 事件 来 获取 有 关 服 务 器 以 及 
Web 软件 的 信息 。 

防止 Web 攻击 是 一 件 费 时 的 任务 ， 从 操作 系统 到 网 络 架构 ， 必 须 对 系统 的 方方面面 都 
提供 保护 。 下 面 是 几 个 通常 要 考虑 的 保护 领域 : 操作 系统 ， 网 站 设计 和 网 络 结构 。 


1. 操作 系统 安全 防护 


Web 服务 器 的 操作 系统 选择 十 分 重要 ，Linux 和 FreeBSD 是 操作 系统 中 完成 基本 安装 后 
比较 安全 的 两 款 操 作 系统 。 然 而 ， 与 Windows 服务 器 一 样 ， 它 们 也 可 能 没有 进行 安全 配置 就 
用 作 Web 服务 器 。 这 样 ， 安 全 性 上 将 存在 较 大 风险 。 当 今 的 通用 操作 系统 都 有 这 样 的 问题 ， 
它们 默认 地 运行 着 大 量 服务 和 应 用 ， 而 完美 的 Web 服务 器 系统 应 该 只 有 一 个 应 用 在 其 中 运 
行 : 即 Web 应 用 本 身 ， 如 IIS 或 Apache。 

为 了 保护 操作 系统 的 安全 性 ， 应 该 完成 下 述 任务 : 

1) 修改 及 重新 命名 默认 账户 ; 

2) 使 用 较 长 的 口令 ; 
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3) 卸载 所 有 未 使 用 的 应 用 程序 ; 
4) 关闭 所 有 不 需要 的 服务 ;关闭 对 诸如 cmd.exe 的 程序 的 访问 ; 
5) 使 用 拥有 最 低 必须 权限 的 用 户 启动 Web 服务 器 ; 
6) 配置 允许 端口 ， 如 80 和 443; 
7) 安装 反 病 毒 程序 (根据 需要 选择 ); 
8) 安装 基于 主机 的 IDS， 监 控 日 志文 件 ; 
9) 创建 一 种 将 日 志文 件 归档 到 其 他 位 置 (不 在 Web 服务 器 上 ) 的 机 制 ; 
10) 应 用 所 有 最 新 的 服务 包 和 更 新 ; 
11) 将 Web 页 面 放置 在 非 标准 的 目录 或 驱动 器 上 。 
由 于 每 天 都 会 发 现 新 漏洞 , 因此 , 保护 操作 系统 的 安全 就 是 一 个 永 不 停 敬 的 工作 。 然而 ， 
通过 研究 操作 系统 厂商 Web 站 点 公布 的 保护 操作 系统 安全 的 最 新 方法 及 途径 , 也 可 以 得 到 近 
平 完 美的 系统 安全 。 

2. 保护 网 站 设计 的 安全 性 

保护 网 站 设计 的 安全 性 是 一 个 很 难 介绍 的 题目 ， 因 为 它 包含 了 开发 人 员 无 意 中 遗 留 在 
Web 中 的 各 种 可 能 的 问题 。 这 里 介绍 的 内 容 仅 包括 用 于 创建 动态 内 容 的 部 署 技术 的 实现 。 例 
如 ，ASP 开发 人 员 可 能 会 创建 一 个 仅 允许 输入 10 个 字符 的 Web 页面， 但 他 又 没有 实现 用 户 
输入 字符 串 长 度 的 检查 ， 这 样 黑 客 就 能 发 送 更 长 的 数据 ， 从 而 可 能 产生 意 想不到 的 后 果 ， 如 
挫 毁 Web 服务 器 等 。 另 外 ， 当 开发 人 员 没 有 检测 由 输入 生成 的 SQL 语句 时 ， 就 在 应 用 程序 
中 留 下 了 SQL 注入 的 漏洞 ， 这 样 可 能 导致 黑客 在 数据 库 中 添加 、 删 除 、 修 改 、 查 看 数据 。 这 
些 问 题 及 其 他 常见 设计 缺陷 都 会 给 Web 服务 器 安全 带 来 威胁 。 为 了 减少 安全 威胁 ，Web 设 
计 人 员 应 该 重视 下 述 实践 : 测试 Web 页 面 上 用 户 输入 的 有 效 性 , 测试 客户 端 返回 到 服务 器 的 
所 有 数据 的 有 效 性 以 及 加 密 Cookie 信息 。 

3. 保护 网 络 结构 的 安全 性 


应 该 把 所 有 Web 服务 器 都 放 在 由 防火 墙 保护 的 独立 安全 网 络 中 , 以 便 阻止 除 允许 流量 之 
外 的 所 有 流量 。 在 Web 服务 器 环境 中 ， 典 型 允许 的 流量 是 通过 端口 80 和 443 的 流量 。 防 火 
墙 可 以 选择 Cisco PIX Firewall 或 Cisco Adaptive Security Appliance。 


5.5 ”数据 库 攻 击 


信息 是 企业 和 机 构 的 生命 线 ， 现 在 每 个 成 功 的 企业 都 在 使 用 数据 库 。 有 具备 了 以 某 种 形式 
存储 业务 信息 的 能 力 ， 就 意味 着 不 用 走 到 仓库 实际 清点 库存 就 能 够 回答 诸如 “现在 仓库 中 还 
有 多 少 笔记 本 ? ”这样 的 问题 。 数 据 库 无 处 不 在 ， 每 当 我 们 使 用 搜索 引擎 、 咨 询 电 话 号 码 、 
到 超市 购物 ， 实 际 上 我 们 都 在 间接 地 使 用 甚至 更 新 数据 库 。 用 最 简单 的 话说 ， 数 据 库 就 是 保 
存 数据 的 一 个 仓库 ， 它 在 物理 上 可 以 是 一 个 或 多 个 文件 ， 但 对 用 户 来 说 ， 他 所 看 到 的 是 用 二 
维 表 表 示 的 、 按 行 和 列 组 织 的 数据 集合 。 

数据 库 实际 上 牵涉 了 两 项 : 一 个 数据 库 管理 系统 , 这 是 一 个 软件 , 它 负责 数据 库 的 创建 、 
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管理 、 操 作 等 任务 ; 另 一 个 是 存储 着 用 户 与 系统 数据 的 实际 数据 库 ， 它 是 由 管理 系统 创建 的 。 
一 个 数据 库 管 理 系统 上 往往 能 够 创建 多 个 数据 库 ， 也 能 够 管理 这 些 数据 库 。 常 用 的 数据 库 管 
理 系统 包括 Oracle、Sybase、Informix、Microsoft SQL Server、MySQL、Microsoft Access、 
Visual FoxPro、DB2 等 。 
现在 人 们 使 用 最 多 的 数据 库 系 统 都 是 关系 型 数据 库 系 统 ， 它 们 采用 了 标准 的 SQL 语言 
作为 数据 操作 和 定义 语言 。 虽 然 每 一 种 数据 库 的 实现 都 存在 一 些 差异 ， 但 基本 上 都 是 对 标准 
的 扩充 。 在 实际 应 用 中 ， 并 不 需要 用 户 直 接 输入 SQL 语句 来 查询 信息 ， 而 把 SQL 语句 编写 
在 应 用 程序 中 , 程序 在 运行 过 程 中 , 根据 需要 把 SQL 语句 发 送 给 数据 库 管理 系统 ， 数 据 库 管 
理 系 统 将 满足 条 件 的 数据 或 操作 结果 返回 给 应 用 程序 。 例 如 ， 当 访问 联机 销售 网 站 时 ， 在 它 
的 价格 范围 框 中 输入 或 选择 一 个 价格 范围 后 ，Web 应 用 就 会 向 数据 库 发 送 一 条 SQL 语句 ， 
查询 满足 这 个 条 件 的 商品 的 信息 。 不 同 厂商 出 品 的 数据 库 管 理 系统 在 SQL 语法 的 采用 上 存在 
一 些 不 同 ， 但 它们 基本 上 都 支持 国际 标准 ANSI SQL-92， 最 新 标准 是 ANSIL-2003 。 
数据 库 的 设计 正 朝 着 易于 用 户 提取 数据 的 方向 发 展 ， 为 方便 应 用 ， 数 据 库 必须 提供 某 种 
形式 的 外 部 窗口 ， 让 程序 能 够 访问 数据 库 中 保存 的 数据 。 然 而 不 幸 的 是 ， 这 个 窗口 也 给 黑客 
留 下 了 进入 数据 库 、 提 取 数 据 库 信息 的 大 门 。 由 于 下 述 一 些 原 因 ， 数 据 库 经 常会 受到 黑客 的 
攻击 : 
e 数据 窃贼 一 一 攻击 数据 库 的 一 个 最 显而易见 的 原因 是 , 攻击 者 想 要 得 到 数据 库 中 包含 
的 数据 。 例 如 ， 信 用 卡 的 详细 信息 无 疑 要 保存 在 数据 库 中 ， 这 些 数 据 是 黑客 关注 的 
重点 目标 。 另 外 ， 数 据 库 攻击 也 是 工业 间谍 的 一 件 不 可 或 缺 的 工作 。 其 他 一 些 数据 ， 
像 对 于 竞争 对 手 来 说 的 客户 信息 ， 也 面临 着 类 似 的 风险 。 
e 数据 操纵 一 一 达到 拒绝 服务 攻击 的 途径 有 多 条 ， 其 中 包括 删除 和 修改 数据 、 删 除 用 
户 账户 、 甚 至 完全 关闭 数据 库 服 务 器 。 
e 系统 级 利用 一 一 数据 库 也 可 以 成 为 网 络 上 其 他 系统 的 后 门 。 如 SQL Server 这 样 的 数 
据 库 都 提供 了 一 些 例 程 ， 黑 客 不 仅 可 以 利用 它们 攻击 和 进入 数据 库 ， 还 能 够 获取 服 
务 器 的 管理 权限 ， 从 而 控制 整个 网 络 。 


5.5.1 ”常用 数据 库 简介 


目前 常用 的 数据 库 都 是 关系 数据 库 ， 也 称 为 关系 数据 库 管理 系统 RDBMS)， 这 些 系统 不 
仅 提 供 了 存储 数据 的 能 力 ， 也 提供 了 管理 和 操作 数据 库 中 数据 的 工具 。 这 些 工 具 原 本 是 提供 
给 数据 库 管 理 员 或 开发 人 员 使 用 的 ， 但 它们 也 是 黑客 攻击 工具 箱 中 不 可 或 缺 的 工具 。 了 解数 
据 库 市 场 上 的 主要 数据 库 厂 商 及 其 产品 很 重要 。 理 解 网 站 或 应 用 程序 使 用 的 数据 库 类 型 及 模 
式 有 助 于 快速 找到 它们 的 弱点 。 

1. Oracle 数据 库 


Oracle 数据 库 由 一 组 数据 库 管理 工具 组 成 ， 它 们 用 于 维护 和 操作 数据 库 中 的 数据 、 定 义 
数据 库 的 结构 和 管理 数据 库 用 户 的 权限 。 第 一 个 Oracle 数据 库 产品 于 1979 年 发 布 ， 现 在 已 
经 发 展 到 Oracle 11g。Oracle 支持 多 种 平台 ， 主 要 包括 Solaris、Linux 和 Windows。 

Oracle 数据 库 中 的 数据 ， 逻 辑 上 存储 在 表 空间 中 ， 物 理 上 保存 在 数据 文件 中 。 表 空间 又 
进一步 划分 为 一 些 段 ， 如 数据 段 和 索引 段 ， 目 的 是 将 不 同 区 域 用 于 存储 不 同 的 内 容 ， 达 到 提 
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高 效率 的 目标 。 为 了 跟踪 和 记录 数据 的 存储 情况 ，Oracle 使 用 了 一 个 称 为 系统 表 空 间 的 表 空 
间 。 这 个 表 空 间 中 存储 了 数据 字典 及 其 他 一 些 系统 信息 。 数 据 字 典 则 是 一 组 包含 了 数据 库 中 
所 有 用 户 对 象 信息 的 表 。 

Oracle 提供 的 SQL 语言 称 为 PL/SQL(Procedural Language/Structured Query Language), 它 
在 SQL 标准 的 基础 上 增加 了 一 些 Oracle 专用 的 东西 。 用 户 可 以 在 命令 行 界面 中 使 用 SQL 语 
名 访问 数据 库 ， 也 可 以 用 如 Oracle SQL*Plus 这 样 的 图 形 用 户 界面 执行 SQL 语句 。 此 外 ， 还 
可 以 使 用 第 三 方 厂商 的 工具 操作 Oracle 数据 库 ， 如 Toad for Oracle， 这 些 工 具 的 特点 是 方便 、 
快捷 。 

2. MySQL 数据 库 


MySQL 是 由 MySQL AB 发 布 和 支持 的 关系 数据 库 管 理 系统 ， 它 是 开源 的 ， 深 受 编程 人 
员 的 喜爱 . MySQL 是 一 个 流行 的 Web 应 用 数据 库 , 通常 和 PHP 结合 使 用 。 它 支持 多 种 平台 ， 
包括 Solaris、Linux 和 Windows。MySQL 的 早期 版 本 不 支持 真正 的 RDBMS 所 具备 的 很 多 标 
准 功 能 ， 包 括 不 支持 事务 处 理 。 现 在 这 种 情况 已 经 被 改变 ， 从 版 本 5.0 开始 提供 了 对 存储 过 
程 和 视图 的 支持 。 
与 其 他 常用 关系 数据 库 管 理 系统 一 样 ，MySQL 数据 库 逻 辑 上 由 表 组 成 ， 表 包含 在 表 空 
间 中 ， 它 在 物理 上 存储 为 数据 文件 。 每 一 个 MySQL 数据 库 都 映射 为 MySQL 数据 目录 下 的 
一 个 目录 ， 数 据 库 中 的 每 一 个 表 都 映射 为 数据 库 目 录 下 的 一 个 文件 。 从 安全 上 看 ，MySQL 
易 受 到 攻击 ， 原 因 在 于 读 取 存储 在 这 些 文件 中 的 数据 相对 要 容易 些 。 另 外 ， 从 5.02 版 开始 ， 
通过 查询 一 组 INFORMATION SCHEMA 视图 ， 能 从 MySQL 中 提取 到 源 数据 ， 而 这 些 视图 
也 是 基于 保存 在 MySQL 数据 库 中 的 数据 得 到 的 。MySQL 在 实现 SQL 时 对 标准 提供 了 变通 
支持 ， 并 包括 了 一 个 启动 MySQL 服务 器 时 用 于 选择 ANSI 模式 的 开关 。MySQL 在 版 本 演化 
过 程 中 变化 较 大 ， 与 ANSI 的 兼容 性 的 变化 也 很 大 。 如 触发 器 这 样 的 功能 ， 它 仅 从 5.0 版 才 
开始 提供 基本 的 支持 ， 在 此 版 本 之 前 ， 它 不 支持 存储 过 程 。 

查询 MySQL 有 多 种 ， 主 要 包括 : MySQL 命令 行 工具 ，MYySQL 控制 中 心 mysqlcc)， 这 
是 一 个 独立 于 平台 的 图 形 用 户 界面 工具 ; MySQL 查询 浏览 器 (MySQL Query Browser)， 这 是 
mysqlcc 的 一 个 更 新 版 本 。 

3. SQL Server 数据 库 


SQL Server 是 微软 提供 的 关系 数据 库 管 理 系 统 ， 它 的 第 一 版 于 1989 年 发 行 ， 由 于 它 是 
微软 的 产品 ， 因 此 只 支持 Windows 平台 。 这 个 数据 库 的 最 新 版 本 为 SQL Server 2005， 按 照 
微软 的 官方 说 法 ， 它 是 用 于 大 规模 联机 事务 处 理 (OLTP)、 数 据 仓 库 和 电子 商务 应 用 的 数据 库 

台 ， 也 是 用 于 数据 集成 、 分 析 和 报表 解决 方案 的 商业 智能 平台 。 

SQL Server 数据 库 的 数据 逻辑 上 表示 为 数据 库 表 ， 物 理 上 存储 在 一 个 或 多 个 操作 系统 数 
据 文件 中 。SQL Server 使 用 了 4 个 系统 数据 库 ， 这 些 数 据 库 在 创建 数据 库 服务 器 时 生成 ， 并 
且 是 SQL Server 服务 器 正常 运行 不 可 或 缺 的 基础 。 

SQL Server 使 用 Transact-SQL(T-SQL) 作 为 它 的 查询 语言 ，T-SQL 是 标准 SQL 的 一 种 变 
体 ， 可 以 直接 在 命令 行 工 具 osql 中 运行 SQL 查询 ， 也 可 以 使 用 它 的 图 形 界面 工具 “企业 管 
理 器 ”来 提取 数据 和 执行 SQL。 
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5.5.2 ”攻击 SQL Server 数据 库 


本 节 介 绍 数据 库 系统 的 一 些 潜在 攻击 点 , 主要 精力 集中 在 SQL Server 数据 库 上 , 但 它们 
包含 的 思想 绝 大 多 数 能 运用 到 所 有 关系 数据 库 管 理 系统 上 。 在 攻击 数据 库 系统 时 , DBA 的 工 
具 箱 通常 就 是 黑客 的 工具 箱 ，SQL Server 的 两 个 标准 工具 (查询 分 析 器 和 命令 行 工具 osqD 也 
是 数据 库 黑 客 工 具 箱 中 的 两 个 常用 工具 。 

1. SQL 注入 


Web 应 用 通常 都 会 使 用 数据 库 ， 为 用 户 提供 读 、 写 数据 的 能 力 。 但 大 量 Web 应 用 都 存在 
SQL 注入 (SQL Injection) 漏 洞 。 简 单 地 说 ，SQL 注入 是 指 攻击 者 通过 修改 Web 应 用 要 发 送 给 
数据 库 的 SQL 语句 ， 达 到 获得 某 些 他 想 得 知 的 数据 (或 完成 某 个 操作 ) 的 目的 。 如 果 想 要 深入 
理解 这 个 概念 ， 则 需要 了 解 一 些 关 于 SQL 的 知识 。 


2. 系统 存储 过 程 


存储 过 程 由 一 条 或 多 条 SQL 语句 组 成 ， 它 通过 过 程 名 称 进行 调用 。 绝 大 多 数 关系 数据 
库 管理 系统 都 支持 存储 过 程 。 一 般 来 说 , 程序 员 会 将 儿 条 SQL 语句 封装 到 存储 过 程 中 ， 完 成 
一 个 完整 的 逻辑 过 程 。 

SQL Server 提供 了 很 多 内 置 的 存储 过 程 ， 称 为 系统 存储 过 程 和 扩展 存储 过 程 。 这 些 存储 
过 程 在 数据 库 服务 器 的 标准 安装 中 默认 地 进行 安装 。 尽 管 绝 大 多 数 存储 过 程 都 是 数据 库 正 常 
运行 所 需 的 工具 ， 但 其 中 的 一 些 存储 过 程 能 被 黑客 利用 ， 从 而 对 数据 库 造成 危险 。 许 多 系统 
存储 过 程 对 于 数据 库 应 用 开发 都 十 分 有 用 ， 但 在 生产 环境 中 许多 系统 都 没有 去 除 这 些 存 储 过 
程 。 曾 经 有 一 段 时 间 ， 人 们 建议 把 最 危险 的 存储 过 程 彻底 地 从 系统 中 删除 ， 但 这 种 做 法 会 对 
数据 库 系统 的 其 他 方面 造成 重大 冲击 。 因 此 ， 现 实 的 做 法 是 ， 通 过 严格 控制 存储 过 程 的 使 用 
权限 来 最 大 限度 低 降低 它们 所 带 来 的 安全 风险 。 

3. 连接 字符 串 与 口令 破解 

为 在 Web 应 用 中 连接 数据 库 ， 很 多 Web 开发 者 采用 硬 编码 方式 将 连接 字符 串 定义 在 配 
署 文件 中 ， 如 web.config 或 globalasa。 

SQL Server 将 用 户 名 和 口令 存储 在 master 数据 库 的 sysxlogins 表 中 。 口 令 使 用 名 为 
pwdencrypt() 的 存储 过 程序 列 。 然 而 不 幸 的 是 ，SQL Server 不 仅 存储 了 口令 的 散 列 结果 ， 而 且 
是 对 口令 进行 大 写 归 一 化 后 散 列 , 因此 减少 了 口令 的 可 用 空间 , 使 得 口令 破解 变 得 更 加 简单 。 

现在 有 各 种 各 样 用 于 暴力 破解 SQL Server 口令 的 工具 ， 包 括 : 

e SQLAT 一 一 以 暴力 攻击 模式 或 字典 攻击 模式 运行 的 口令 审计 工具 。 

e SQLDict 一 一 字典 攻击 工具 。 

此 外 ， 下 面 的 存储 过 程 也 能 完成 类 似 任务 : 

e FindSA 一 一 用 于 得 到 SA 口令 的 暴力 破解 工具 ; 

e ”FindSADic 一 一 用 于 得 到 SA 口令 的 字典 攻击 工具 。 


5.5.3 ”攻击 Oracle 数据 库 
攻击 Oracle 数据 库 服务 器 的 第 一 步 工作 是 找到 Oracle 服务 器 , 在 知道 它 在 什么 机 器 上 运 
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行 后 ，TCP 端口 扫描 是 找到 Oracle 数据 库 服务 器 的 有 效 途径 。Oracle 及 其 辅助 进程 侦 听 众多 
的 不 同 端口 ， 虽 然 这 些 端口 可 以 设置 ， 但 多 数 情况 下 人 们 会 全 部 或 部 分 使 用 默认 端 
PL/SQL 是 Oracle 版 本 的 SQL， 它 用 于 创建 存储 过 程 、 函 数 、 触 发 器 及 对 象 。 计 RSG 是 
Procedural Language/SQL 的 缩写 ， 也 是 操作 Oracle 数据 库 的 主要 工具 。 对 于 专门 从 事 数据 库 
攻击 的 人 来 讲 ， 应 该 阅读 一 本 详细 介绍 PL/SQL 的 图 书 。 
PL/SQL 注入 是 一 种 与 Oracle 存储 过 程 相关 的 重要 攻击 技术 。 利 用 PL/SQL 注入 ， 攻 击 
者 能 够 提升 其 权限 ， 从 较 低级 的 PUBLIC 账户 提升 为 具有 DBA 权限 的 账户 。 这 项 技术 适用 
于 几乎 所 有 Oracle 版 本 ， 能 用 于 攻击 定义 存储 过 程 和 Oracle 本 身 自 带 的 存储 过 程 。 


5.5.4 保护 SQL Server 的 安全 


为 了 方便 开发 和 使 用 数据 库 ，SQL Server 在 默认 安装 中 提供 了 一 个 便利 的 开发 环境 ， 它 
提供 了 丰富 的 特性 ， 包 括 示例 数据 库 、 完 整 的 存储 过 程 及 其 他 用 于 方便 管理 和 使 用 数据 库 的 
特性 。 但 是 ， 这 些 便利 的 开发 环境 工具 在 生产 环境 中 却 可 能 会 带 来 众多 不 安全 因素 ， 成 为 网 
络 的 后 门 。 因 此 ， 必 须 在 SQL Server 投入 生产 环境 之 前 ， 实 现 一 组 标准 的 安全 防护 ， 从 而 让 
生产 环境 变 得 安全 可 靠 起 来 。 


1. 用 户 认 证 


与 其 他 绝 大 多 数 关系 数据 库 管理 系统 一 样 ，SQL Server 能 够 管理 其 自身 的 安全 并 在 内 部 
维护 其 用 户 和 口令 ， 它 所 使 用 的 数据 库 表 为 sysxlogins。SQL Server 支持 两 种 认证 方式 : 本 地 
的 SQL Server 认证 ( 称 为 混合 模式 ) 和 Windows 认证 .用户 可 在 安装 SQL Server 时 配置 认证 模 
式 ， 也 能 够 在 安装 后 修改 认证 模式 。 

Windows 认证 使 用 Windows 集成 安全 自动 认证 要 登录 到 数据 库 的 用 户 ， 它 利用 了 用 户 
登录 域 时 所 用 的 凭据 。 混合 模式 认证 既 允 许 用 户 使 用 自己 的 Windows 凭据 登录 数据 库 ， 也 允 
许 用 户 使 用 基于 SQL Server 的 安全 登录 数据 库 。 不 论 使 用 哪 一 种 登录 方式 ， 都 必须 在 数据 库 
级 创建 登录 用 户 。 如 果 采 用 了 SQL Server 登录 ， 那 么 口令 以 单 向 散 列 方式 存储 在 sysxlogins 
表 中 。 

其 实 , 使 用 Windows 认证 模式 本 质 上 更 安全 ， 原 因 在 于 口令 管理 的 完整 性 ， 如 口令 最 短 
长 度 、 多 次 无 效 登 录 后 的 账户 锁定 等 。 如 果 认 证 模式 从 混合 模式 改 为 Windows 模式 ， 那么 已 
有 的 任何 SQL Server 登录 用 户 都 不 再 有 效 ， 不 能 再 通过 认证 登录 数据 库 服务 器 。 


2. 服务 账户 


在 标准 SQL Server 安装 过 程 中 ， 默 认 地 安装 了 许多 服务 ， 使 用 SQL Server 正常 发 挥 功 
能 必须 运行 的 服务 是 MSSQLServer 服务 。 但 SQL Server 调度 代理 SQLServerAgent 通常 在 标 
准 安装 后 都 会 被 安装 和 运行 。 除 了 这 两 个 服务 之 外 ， 默 认 安 装 还 会 安装 下 述 服 务 : 
MSSQLServerADHelper、 MSDTC(Distributed Transaction Coordinator) 和 MSSearch Services。 

关闭 未 使 用 的 服务 有 助 于 缩小 黑客 攻击 面 ， 这 是 一 种 良好 的 实践 策略 。 如 果 选 择 了 默认 
安装 ， 这 些 服务 都 将 被 安装 ， 并 运行 在 本 地 系统 账户 中 。 本 地 系统 账号 在 本 地 机 器 上 拥有 一 
些 权 限 ， 包 括 两 种 形式 : 以 操作 系统 方式 操作 (Act as Part of the Operating System 和 生成 安全 
审核 (Generate Security Audits)。 用 户 应 该 让 服务 器 运行 在 不 必 是 本 地 管理 用 户 组 或 域 管理 用 
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户 组 成 员 的 域 用 户 账户 下 ， 并 且 确 保 运行 服务 的 账户 拥有 能 够 让 服务 正常 运行 的 最 小 权限 。 
3. Public 角色 


与 Windows 一 样 ， 每 个 SQL Server 安装 都 有 一 些 预先 定义 的 角色 。 这 些 不 同 的 角色 能 
够 影响 整个 服务 器 的 权限 级 别 或 单个 数据 库 的 权限 级 别 ， 其 中 最 重要 的 一 个 角色 是 Public 角 
色 ， 它 被 授予 数据 库 级 别 的 权限 。 每 一 个 数据 库 都 拥有 Public 角色 ， 添 加 到 数据 库 中 的 每 一 
个 用 户 都 是 Public 角色 的 一 个 成 员 。 这 种 约定 无 法 改变 ， 用 户 既 不 能 删除 Public 角色 ， 也 不 
能 从 这 个 角色 中 删除 成 员 。 因 此 ， 必 须 小 心 谨慎 地 管理 Public 角色 的 权限 。 


4. Guest 账户 


SQL Server 中 有 一 个 称 为 Guest 的 账户 。 如 果 这 个 Guest 账户 是 数据 库 级 账户 ， 那 么 任 
何 登 录 都 能 够 访问 数据 库 。 由 于 Guest 账户 是 Public 角色 的 成 员 ， 通 过 这 个 账户 访问 数据 库 
的 任何 用 户 都 拥有 Public 角色 拥有 的 权限 ， 而 无 须 经 过 授权 。 为 了 降低 Guest 账户 引发 的 风 
险 ， 就 要 确保 model 数据 库 中 不 包含 这 个 账户 ， 因 为 model 数据 库 是 新 创建 所 有 用 户 数据 库 
时 使 用 的 模板 。 此 外 ， 需 要 定期 审计 数据 库 用 户 ， 检 查 是 否 创建 了 Guest 账户 。 


5. 网 络 库 


SQL Server 支持 集中 网 络 层 协议 与 客户 端 通信 。 这 些 协议 包括 TCP/IP、IPX/SPX、Named 
Pipes 和 AppleTalk。 为 完成 这 些 通信 ，SQL Server 使 用 称 为 网 络 库 (或 Net-Libraries) 的 动态 链 
接 库 来 进行 通信 ， 要 求 在 服务 器 和 客户 端 都 安装 这 些 网 络 库 。 如 果 客 户 端 和 服务 器 端的 配置 
支持 相同 网 络 库 ， 客 户 端 发 起 连接 ， 则 只 能 与 SQL Server 进行 通信 。 需 要 注意 的 是 ， 不 要 混 
淆 网 络 协议 和 网 络 库 ， 虽 然 它们 的 名 字 很 接近 ， 但 一 般 来 说 ， 一 个 网 络 库 可 以 支持 多 个 网 络 
协议 ，SQL Server 的 默认 安装 使 用 了 TCP/IP 和 Named Pipes 网 络 协议 。 

虽然 黑客 不 能 攻击 ss Server 的 网 络 库 , 但 网 络 库 表明 了 客户 端 用 于 通信 的 协议 。 开 发 
超过 需要 的 网 络 库 只 会 给 系统 带 来 更 大 的 风险 。 一 般 来 说 ， 只 要 有 可 能 ， 就 应 该 使 用 TCP/IP 
网 络 库 ， re ee te 性。 另外 ， 使 用 TCP/IP 网 络 库 还 可 以 修改 
SQL Server 的 默认 端口 (默认 端口 1433)， 选 择 选项 “隐藏 服务 器 (Hide server)” 后 ， 可 将 默认 
端口 切换 为 TCP 2433， 但 微软 不 建议 修改 默认 端口 。 


5.5.5 ”保护 Oracle 的 安全 


保护 Oracle 的 安全 是 十 分 艰巨 的 任务 。 原 因 很 简单 ，Oracle RDBMS 实在 太 庞大 了 。 本 
节 将 介绍 一 些 有 助 于 保护 Oracle 环境 安全 的 简单 措施 。 


1) 设置 TNS Listener 口令 与 打开 Admin Restrictions 

默认 情况 下 ，TNS Listener 没有 设置 口令 ， 它 能 被 任何 人 员 通 过 远程 连接 来 维护 (这 种 
做 法 在 Oracle 10g 中 已 经 被 修改 )。 设 置 Listener 的 口令 将 能 有 效 地 阻止 对 Listener 的 非 授 
权 管 理 。 

通过 打开 Admin Restrictions， 人 Listener 的 非 授权 维护 。 当 Admin Restrictions 打 
开 之 后 ， 即 使 提供 了 Listener 的 ， 某 些 命令 也 不 能 远程 执行 。 
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2) 打开 TCP 有 效 节点 检查 
TCP 有 效 节点 检查 用 于 允许 某 些 主 机 连接 到 数据 库 服 务 器 , 而 阻止 男 一 些 主 机 连接 到 数 
据 库 ， 从 而 将 脆弱 数据 库 的 主机 限定 在 某 个 已 知 范围 内 。 


3) 关闭 XML 数据 库 与 关闭 外 部 过 程 

XML 数据 库 CXDB) 提 供 了 两 项 服务 : 一 个 是 侦 听 TCP2100 端口 的 FTP 服务 ， 另 一 个 是 
侦 听 TCP8080 端口 的 HITP 服务 。 如 果 我 们 没有 使 用 这 些 服务 ， 那 么 就 应 该 关闭 它 。 

外 部 过 程 让 PL/SQL 过 程 能 够 调用 操作 系统 共享 对 象 (比如 DLL) 的 功能 。 这 种 调用 存在 
潜在 的 威胁 ， 如 果 不 需要 这 种 功能 ， 就 应 该 及 时 关闭 它 。 编 写 PL/SQL 代码 的 开发 人 员 应 该 
尽 可 能 地 避免 使 用 外 部 过 程 。 


4) 加 密 网 络 通信 与 锁定 和 过 期 未 使 用 账户 

加 密 网 络 通信 设置 仅仅 适用 于 Oracle Enterprise Edition, 在 这 个 版 本 中 , 应 该 使 用 Oracle 
Advanced Security 加 密 客户 端 与 数据 库 服务 器 之 间 的 流量 , 使 用 Oracle Net Manager 工具 设置 
这 个 选项 。 

侵入 Oracle 服务 器 最 容易 的 方法 或 许 是 得 到 它 的 用 户 名 和 口令 。 因此， 所 有 未 使 用 账户 
都 应 该 锁定 或 使 其 过 期 ， 可 使 用 数据 库 配 置 助 手 DCA，Database Configuration Assistant) 来 完 
成 这 个 任务 。 

5.5.6 ”检测 数据 库 攻击 

数据 库 攻击 经 常 发 生 在 代码 编写 得 糟糕 的 情况 下 。 下 面 介绍 检测 数据 库 攻 击 的 方法 。 

1. 审计 与 失败 登录 

审计 通常 是 数据 库 管理 员 识别 数据 库 的 非 授 权 访问 或 访问 企图 的 第 一 个 步骤 。 访问 审计 
比较 容易 设置 ， 可 在 服务 器 级 或 数据 库 级 配置 访问 审计 。 除 了 Windows 事件 日 志 外 ，SQL 
Server 提供 了 自己 的 出 错 日 志 记 录 系 统 。 当 在 SQL Server 中 配置 访问 审计 时 ， 审 计 事件 同时 
写 入 到 两 个 日 志 中 。SQL Server 提供 了 4 个 级 别 的 审计 : 无 Qone) 一 一 不 记录 登录 尝试 ; 成 
功 (Success) 一 一 只 有 成 功 登 录 被 写 入 到 日 志 ; 失败 (Failure) 一 一 只 有 失败 登录 被 写 入 到 日 志 ; 
所 有 (Al) 一 一 每 一 个 登录 数据 库 的 尝试 都 被 记录 到 日 志 中 。 作 为 进一步 提高 保护 层次 的 一 种 
手段 ， 也 可 以 使 用 入 侵 检测 系统 0DS) 来 阻止 非 授 权 访问 。 

与 其 他 应 用 程序 一 样 ，SQL Server 的 口令 也 能 够 被 暴力 破解 。 前 面 已 经 介绍 过 一 些 用 于 
暴力 破解 SQL Server 口令 的 工具 。 在 打开 失败 登录 监控 后 , 当 发 生 暴力 破解 SQL Server 口令 
的 现象 时 ， 日 志 中 就 会 产生 大 量 失 败 登 录 记 录 。 

2. 系统 存储 过 程 与 SQL 注入 


SQL Server 提供 了 众多 系统 存储 过 程 ，sp_password 便 是 用 于 添加 或 修改 SQL Server 登 
录 的 口令 。 这 个 存储 过 程 在 应 用 中 有 一 个 特性 : 每 当 调用 这 个 存储 过 程 时 ， 系 统 就 会 识别 出 
名 称 ps_password， 因 此 整 条 语句 都 从 工具 中 隐藏 起 来 。 

SQL 注入 的 本 质 使 得 检测 这 种 攻击 几乎 不 可 能 , 不 管 这 种 检测 是 实时 检测 还 是 其 他 某 种 
类 型 的 审计 检测 ， 即 使 是 IDS 也 几乎 检测 不 到 SQL 注入 。 防 止 SQL 注入 攻击 的 唯一 有 效 手 
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段 是 实现 全 面 的 代码 评审 并 在 生产 系统 中 严格 遵从 编码 标准 。 确 保 整个 应 用 程序 中 都 进行 输 
入 有 效 性 认证 ,对 输入 数据 进行 检查 ,删除 任何 具有 潜在 危险 的 字符 ， 如 单 引 号 () 和 分 号 (;)。 


S57 


防止 数据 库 攻击 


防止 数据 库 攻击 需要 做 多 方面 的 工作 ,， 有些 工 作 很 简单 ， 而 另 一 些 工作 可 能 会 带 来 庞大 的 
维护 任务 ， 从 而 只 能 在 一 些 高 风险 环境 中 应 用 。 下 面 是 一 些 防止 数据 库 攻击 的 预防 性 措施 ; 


服务 包 和 补丁 : 及 时 更 新 操作 系统 和 数据 库 应 用 的 所 有 服务 包 和 修补 包 。 

物理 安全 : 数据 库 服务 器 应 该 放 在 一 个 物理 安全 的 环境 中 ， 因 为 潜在 的 黑客 既 可 以 
在 单位 之 外 ， 也 可 以 在 单位 之 内 。 

防火 墙 规 则 : 使 用 防火 墙 阻塞 UDP 端口 1434, 这 个 端口 是 蠕虫 病毒 Slammer 的 攻 入 
点 ，SQL Server 的 正常 工作 不 要 求 开 放 这 个 端口 。 

关闭 不 使 用 的 特性 : 如 果 系 统 中 不 需要 使 用 SQL Mail 或 其 他 一 些 特性 ， 那 就 关闭 这 
些 特性 。 如 果 没 有 调度 或 报警 需求 ， 那 么 SQL Agent 就 不 需要 运行 。 当 关闭 了 这 些 
特性 后 ， 就 减少 了 服务 器 受到 攻击 的 机 会 。 

分 析 工 具 : 可 使 用 各 种 工具 来 寻找 系统 中 存在 的 潜在 漏洞 。 微 软 的 安全 审计 工具 
Microsoft Baseline Security Analyzer(MBSA) 可 以 报告 服务 器 上 存在 的 安全 问题 。 

审计 共享 文件 夹 的 权限 : 确保 没有 为 了 方便 文件 访问 而 共享 了 NTEFS 文件 夹 。 如 果 
将 SQL Server 安装 在 Windows 域 账户 下 ， 那 么 该 账户 被 自动 授予 访问 SQL Server 
需要 使 用 的 所 有 文件 夹 。 如 果 随 后 改变 了 SQL Server 的 运行 用 户 ， 而 这 些 权限 又 没 
有 被 收回 的 话 ， 就 会 给 这 个 用 户 遗 留 下 不 必要 的 访问 权限 。 

服务 账户 和 sa 账户 : 这 是 两 个 最 经 常 被 攻击 的 账户 ， 应 该 为 它们 设置 复杂 的 口令 。 
如 果 使 用 混合 模式 的 话 ， 每 一 个 账户 都 要 使 用 复杂 口令 。SQL Server 存储 口令 的 方 
法 并 不 十 分 安全 ， 此 外 ， 它 也 不 能 强制 实施 口令 规则 。 

Guest 账户 : 除了 Master 和 Tempdb 外 ， 从 所 有 数据 库 删 除 这 个 账户 ， 因 为 Master 
和 Tempdb 数据 库 需 要 使 用 这 个 账户 来 正常 地 工作 ,在 工作 数据 库 中 如 果 要 保留 Guest 
账户 ， 那 么 将 它 的 权限 设置 得 尽 可 能 地 低 些 。 

输入 有 效 性 评估 : 不 要 允许 互联 网 应 用 随意 地 查询 数据 库 ， 取 而 代 之 的 是 ， 使 用 存 
储 过 程 访问 数据 库 资源 。 
数据 库 和 IIS 服务 器 : 应 将 数据 库 服务 器 和 IIS 服务 器 放 在 不 同 应 用 平台 上 ， 并 在 数 
据 库 服务 前 面 加 装 一 个 防火 墙 ， 阻止 外 部 用 户 对 数据 库 的 访问 。 这 样 就 对 数据 库 的 
安全 增加 了 一 道 防护 屏障 。 

Windows 域 ， 只 要 有 可 能 ， 就 使 用 Windows 域 ， 这 样 可 以 运用 集成 安全 模式 ， 它 比 
SQL Server 的 安全 方式 有 很 大 提高 。 

信任 连接 : 例如 ， 当 使 用 命令 行 工具 查询 工具 osql 时 ， 使 用 -E 选项 ， 避 免 在 批 处 理 
文件 书写 易于 被 人 看 到 的 硬 编码 口令 。 

SQL Server 服务 账户 : 在 Windows 域 中 ， 应 该 使 用 域 用 户 。 它 不 需要 是 本 地 系统 账 
户 或 管理 员 组 成 的 成 员 ， 绝 大 多 数 情况 下 ， 也 不 需要 是 本 地 管理 员 。 采 用 最 低 权限 
策略 确保 了 即使 服务 器 被 攻 入 ， 黑 客 能 执行 服务 账户 上 下 文中 的 命令 ， 它 也 依然 受 
到 该 账户 权限 的 约束 。 
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。 Model 数据 库 : 由 于 Model 数据 库 提供 了 新 创建 的 所 有 数据 库 的 模板 ， 因 此 它 也 应 该 
内 建安 全 模板 ， 这 样 无 论 谁 创建 新 的 数据 库 ， 系 统 中 创建 的 每 个 数据 库 都 拥有 了 最 
大 程度 的 安全 性 。 

e Public 角色 : 定期 审计 权限 。 由 于 每 个 数据 库 用 户 都 自动 成 为 Public 角色 的 成 员 ， 因 
此 严格 控制 这 个 角色 的 权限 十 分 必要 。 

e 扩展 存储 过 程 : 对 所 有 潜在 易 受 攻击 的 系统 存储 过 程 都 严格 地 控制 其 权限 ， 并 定期 
审计 它们 的 权限 。 这 样 可 以 避免 无 意义 的 权限 修改 或 粗心 开发 人 员 的 权限 修改 带 来 
的 安全 风险 。 

e 网 络 库 : 只 开放 系统 所 需要 的 网 络 库 ， 减 少 SQL Server 受到 攻击 的 接触 面 。 

e SSL( 安 全 套 接 层 ): 只 要 有 可 能 ， 就 加 密 客户 端 与 Web 服务 器 之 间 的 通信 数据 。 


5.6 口令 破解 


在 计算 机 发 明之 前 ， 企 业 和 政府 机 构 使 用 门 锁 和 文件 柜 来 保护 数据 的 安全 ， 而 且 这 种 物 
理 安全 让 人 感觉 很 放心 。 现 在 ， 通 过 网 络 能 够 在 任何 地 方 访问 企业 的 数据 ， 物 理 安全 已 经 不 
能 对 数据 提供 足够 的 保护 了 。 这 样 ， 企 业 和 政府 机 构 就 开始 转向 采用 访问 控制 来 保护 自己 的 
数据 。 强 健 的 访问 控制 至 少 应 该 采用 下 述 方法 中 的 两 种 方法 : 

e。 被 认证 者 知道 的 东西 :个 人 身份 号 码 或 口令 ; 

e ”被 认证 者 拥有 的 东西 ，SecureID 卡 ; 

e 被 认证 者 是 谁 ， 生 物 特征 

e 被 认证 者 做 的 事情 : 在 我 们 签名 时 监视 笔尖 压力 的 变化 。 

双 因素 安全 是 指 至 少 采用 上 述 两 种 控制 方式 的 访问 控制 ， 如 通过 指纹 和 口令 进行 访问 授 
权 。 四 因素 认证 则 包含 了 所 有 四 个 认证 方面 。 然 而 ， 绝 大 多 数 应 用 依然 使 用 最 弱 的 安全 认证 
方式 一 一 仅 使 用 口令 的 单 因素 认证 。 由 于 同时 使 用 了 用 户 名 和 口令 ， 人 们 往往 认为 这 就 是 使 
用 了 双 因 素 认证 ， 但 用 户 名 和 口令 方式 的 认证 仍 是 一 种 单 因素 认证 ， 因 为 它 仅仅 基于 人 们 所 
知道 的 东西 。 

令 提 供 了 最 弱 的 安全 认证 方式 ， 原 因 在 于 人 们 可 以 通过 破解 猜测 出 口令 ， 而 作为 渗透 
测试 人 员 ， 也 应 该 知道 口令 破解 的 方法 。 人 们 之 所 以 雇佣 渗透 测试 人 员 进行 口令 破解 经 常 是 
出 于 下 述 两 个 理由 之 一 : 策略 审计 和 口令 恢复 。 

当 出 于 策略 审计 目的 进行 口令 破解 时 ， 测 试 人 员 试图 确定 企业 是 否 强制 实施 了 其 口令 策 
略 。 比 如 ， 假 定 企 业 安全 策略 中 有 一 条 ， 要 求 口 令 必须 是 8 个 字符 长 ， 并 使 用 字母 数字 的 组 
合 ， 那 么 口令 b62ki9d6 就 是 这 个 策略 下 的 一 个 强 口令 。 如 果 对 企业 的 口令 测试 中 发 现 只 有 
80% 的 口令 符合 企业 设 定 的 策略 ， 那 么 渗透 测试 人 员 就 可 以 告知 企业 这 样 的 策略 没有 在 企业 
中 得 到 彻底 贯彻 。 

当 公司 的 系统 管理 员 离 开 企业 且 没有 任何 人 知道 管理 员 账 户 的 口令 时 ， 企 业 就 可 能 雇佣 
渗透 测试 人 员 来 破解 管理 员 的 口令 。 口 令 破解 工具 有 很 多 ， 本 节 首 先 介绍 口令 在 服务 器 中 的 
存储 方式 ， 之 后 概要 描述 一 些 最 常用 的 口令 破解 工具 ， 最 后 说 明 一 些 避 免 口令 被 恶意 破解 的 
技巧 。 本 节 的 主要 内 容 是 介绍 破解 现 有 口令 的 方法 ， 但 若 能 直接 地 物理 访问 计算 机 ， 也 可 以 
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使 用 一 些 工 具 覆 盖 或 擦 除 口令 .。 一 个 很 好 的 工具 是 Passware Kit, 它 除 了 能 够 恢复 众多 常用 软 
件 的 口令 之 外 , 也 能 够 重 置 Windows2003/2000/NT 服务 器 及 Windows Vista/XP/2000/NT 工作 
站 的 口令 。 这 个 工具 的 使 用 很 简单 ， 首 先 利 用 它 生 成 一 张 可 启动 光盘 或 软盘 ， 然 后 重启 计算 
机 ， 按 照 提示 选择 操作 即 可 。 


5.6.1 口令 散 列 方法 


令 通 过 只 允许 知道 口令 的 人 访问 系统 的 方式 来 保护 系统 的 安全 。 一 般 情况 下 ， 用 户 需 
要 通过 认证 和 授权 两 个 阶段 对 系统 进行 访问 。 其 中 ， 第 一 阶段 确定 用 户 身份 ， 第 二 阶段 确定 
户 的 操作 权限 。 在 这 两 个 阶段 中 ， 以 明文 或 密 文 形式 将 口令 发 送 给 系统 都 是 可 以 的 ， 但 | 


于 明文 发 送 方式 的 安全 性 较 低 ， 所 以 常 采用 密 文 形 式 发 送 口令 ， 而 最 常用 的 加 密 方法 就 是 散 
列 法 。 
1. 使 用 加 密 


在 介绍 使 用 不 同 工 具 破解 口令 之 前 ， 需 要 理解 口令 是 如 何 加 密 的 。 由 于 Windows 和 
UNIX 是 市 场 上 最 流行 的 两 个 服务 器 ， 因 此 这 里 的 讨论 仅 局 限于 它们 两 个 。 这 两 个 系统 的 
主要 差别 是 : UNIX 及 其 各 种 变 体 ( 包 括 Linux) 在 加 密 口 令 时 使 用 了 加 盐 (加 密 前 在 口令 中 添 
加 的 一 个 随机 字符 串 )， 而 Microsoft Windows 服务 器 则 没有 加 盐 ， 这 就 是 Windows 口令 相 
对 更 容易 破解 的 原因 之 一 。 


2. 微软 口令 散 列 


Windows 散 列 和 LNMAN 散 列 是 微软 推出 的 两 种 口令 散 列 。 

Windows 散 列 的 第 一 步 是 将 口令 转换 成 Unicode 编码 ,Unicode 是 一 种 用 唯一 的 数字 表 
示 每 一 个 字符 的 编码 方法 ， 适 用 于 各 种 语言 和 平台 。 这 种 编码 提供 了 字符 的 一 致 编码 手段 ， 
开发 人 员 可 使 用 Unicode 编码 在 一 种 语言 中 编写 程序 或 页 面 ， 而 在 另 一 种 语言 中 轻易 地 阅 
读 它 们 。 比 如 ， 大 写字 母 A 的 Unicode 编码 为 0041。 在 第 一 步 完 成 后 ， 用 MD4 算法 散 列 
Unicode 字符 串 形式 的 口令 MD4 算法 的 安全 性 比 MD5 算法 要 弱 , 但 它 比 微软 用 于 加 密 口 
令 的 LANMAN 散 列 算法 要 强 一 些 。 

LANMAN 散 列 算法 从 NT3.5 引入 ， 主 要 用 于 向 后 兼容 性 。 当 口令 长 度 不 足 14 个 字符 
时 ， 它 在 口令 后 面 添加 上 一 些 零 ， 使 其 补足 到 14 个 字符 ,之 后 口令 被 转换 为 大 字 字母 ， 并 
划分 为 两 个 7 字符 组 。 如 果 口 令 长 度 不 超过 7 个 字符 ， 那 么 第 二 个 字符 组 中 的 所 有 字符 都 
是 0， 在 运行 加 密 算法 后 ， 所 有 都 是 0 的 字符 串 转换 为 0Xaad3B435B51404EE， 当 看 到 
LANMAN 口令 中 出 现 这 样 的 字符 串 时 , 就 可 以 知道 它 对 应 的 口令 长 度 不 超过 7 个 字符 。 接 
下 来 从 两 个 字符 组 中 分 别 计算 得 到 一 个 8 位 字 节 奇 校 验 的 DES 密 钥 , 将 这 两 个 值 结合 在 一 
起 ,得 到 一 个 16 字 节 的 单 向 散 列 值 。 由 于 在 破解 LANMAN 口令 时 一 次 只 需要 破解 7 个 字 
符 ， 因 此 这 种 口令 易于 破解 。 比 如 ， 如 果 口 令 为 password123， 那 么 破解 口令 时 只 需 破解 出 
passwor 和 d123 即 可 ， 这 比 破解 出 字符 串 password123 容易 得 多 。 口 令 中 包含 的 字符 个 数 

Windows 口令 存储 在 安全 账户 管理 数据 库 (SAM. Security Accounts Manager) 中 , 其 文件 
为 Windows 目录 下 的 \system32\config\SAM。 在 Windows 运行 过 程 中 ， 这 个 文件 (SAMD) 被 
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锁定 ， 但 该 文件 的 一 个 备份 保存 在 Windows 目录 下 的 epair 目录 中 ， 并 在 每 次 运行 应 急 修 
复 实 用 程序 (ERD) 时 更 新 。Windows 口令 破解 实用 程序 要 求 使 用 SAM 数据 库 。 


3. UNIX 口令 散 列 


UNIX 口令 比 Windows 口令 要 更 安全 一 些 。 在 UNIX 系统 中 , 加 密 口 令 时 使 用 了 加 盐 操 
作 来 生成 一 个 随机 值 。UNIX 口令 使 用 DES 算法 对 口令 进行 25 次 循环 加 密 ， 其 中 首次 加 密 
是 使 用 全 0 的 64 密 钥 ， 然 后 将 输出 值 加 盐 后 作为 后 续 24 次 加 密 的 输入 。 

在 所 有 类 UNIX 系统 中 ， 加 密 后 的 口令 通常 存储 在 /etc/shadow 文件 中 ， 更 旧 一 些 版 本 的 
系统 将 加 密 后 的 口令 存储 在 /etc/passwd 文件 中 。 


5.6.2 ”Web 口令 破解 技术 


认证 是 一 个 验证 身份 的 过 程 。 常 用 的 认证 手段 是 使 用 用 户 名 和 口令 ， 此 外 ， 也 可 以 使 用 
能 够 起 到 认证 作用 的 任何 手段 ， 包 括 智能 卡 、 虹 膜 扫描 、 语 音 识别 及 指纹 等 。Web 认证 中 ， 
常用 的 认证 方法 包括 : 基本 认证 、 数 字 认证 、NTLM 认证 、 证 书 认 证 、 表 单 认 证 。 下 面 介绍 
这 些 认证 方法 及 实施 攻击 的 手段 。 


1. 基本 认证 


基本 认证 (Basic Authentication) 是 最 简单 的 认证 方法 ， 也 是 很 长 时 间 以 来 应 用 最 广泛 的 认 
证 方法 。 基 本 认证 模式 的 模型 是 : 客户 端 必须 使 用 用 户 标识 和 口令 向 服务 器 说 明 自己 的 身份 。 

只 有 在 服务 器 确认 了 用 户 标识 和 口令 对 于 所 请 求 URL 的 指定 保护 空间 有 效 时 ， 它 才 会 
提供 所 需 的 服务 。 这 种 认证 没有 可 选 认证 参数 ， 为 了 得 到 授权 ， 客 户 端 发 送 凭据 ， 凭 据 由 用 
户 标 识 和 口令 组 成 ， 中 间 使 用 冒号 () 分 隔 ， 之 后 使 用 BASE64 进行 编码 。 

基本 认证 具有 下 述 特点 : 

1) 基本 认证 是 Web 应 用 的 最 基本 认证 形式 ; 

2) 认证 凭据 以 BASE64 编码 形式 进行 编码 ， 以 明文 形式 进行 传输 ， 易 于 窃听 、 易 于 受 
到 重 放 攻 击 ; 

3) 使 用 128 位 SSL 加 密 可 挫败 攻击 。 

当 某 个 特定 资源 使 用 基本 认证 进行 保护 时 ， 为 了 通知 客户 端 必须 提供 用 户 凭据 ，HTTP 
服务 器 发 送 一 个 401 认证 请 求 头 ， 客 户 端 在 收 到 这 个 401 响应 头 时 ， 如 果 客 户 端的 浏览 器 支 
持 基 本 认证 ， 它 就 提示 用 户 输入 要 发 送 给 服务 器 的 用 户 名 和 口令 。 为 得 到 资源 ， 从 服务 器 上 
请 求 的 每 一 个 资源 都 必须 提供 认证 凭据 。 由 于 HITP 协议 是 一 种 无 状态 协议 ， 因 此 每 一 个 请 
求 都 以 相同 方式 处 理 ， 即 使 这 些 请 求 来 自 同 一 个 客户 端 。 客 户 端 浏览 器 缓冲 所 提供 的 用 户 名 
和 口令 , 并 与 认证 域 (Authentication Realm) 存 储 在 一 起 , 这 样 如 果 从 相同 域 中 请 求 其 他 资源 时 ， 
能 把 相同 的 用 户 名 和 口令 提供 给 服务 器 来 认证 请 求 ， 而 不 要 求 用 户 重复 输入 它们 。 这 种 方式 
中 ， 浏 览 器 能 区 分 不 同 站 点 的 私有 认证 域 。 

对 于 严格 的 安全 定义 来 说 ， 基 本 认证 不 应 该 被 认为 是 安全 的 。 尽 管 口令 以 加 密 形式 存储 
在 服务 器 上 ， 但 它 以 明文 形式 通过 网 络 从 客户 端 传输 到 服务 器 上 。 使 用 任何 一 款 包 嗅 探 器 就 
能 够 捕获 明文 传输 的 用 户 名 和 口令 。 另 外 ， 每 一 个 访问 请 求 都 要 传递 用 户 名 和 口令 ， 而 不 仅 
是 在 第 一 次 时 这 样 做 。 因 此 ， 包 噢 探 器 不 必 侦 听 特定 的 时 刻 ， 只 要 侦 听 的 时 间 足 够 长 ， 就 能 
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获得 用 户 名 和 口令 。 此 外 ， 数 据 本 身 也 以 明文 形式 在 网 络 上 传送 ， 如 果 网 站 中 包含 了 敏感 信 
息 ， 那 么 包 嗅 探 器 同样 能 捕获 这 些 信息 ， 从 而 造成 敏感 信息 泄露 。 


2. 数字 散 列 认证 


数字 散 列 认证 (Digest Authentication) 通 过 用 户口 令 MDS 摘要 的 形式 实现 口令 的 传输 。 

数字 散 列 认证 具有 下 述 特点 : 

1) 数字 散 列 认证 基于 质询 /响应 认证 模型 ; 

2) 用 户 发 出 不 带 认证 凭据 的 请 求 ，Web 服务 器 回应 一 个 指示 凭据 的 WWW 认证 头 ; 

3) 取代 发 送 用 户 名 和 口令 ， 服 务 器 使 用 一 个 随机 值 询问 客户 端 ; 

4) 客户 端 使 用 用 户 名 /口令 的 消息 摘要 应 答 服 务 器 。 

与 基本 访问 认证 相似 ,数字 散 列 认 证 模式 基于 简单 的 质询 /响应 模型 。 在 可 选 头 中 服务 器 
指定 用 于 创建 检查 或 摘要 的 算法 ， 默 认 时 使 用 MD5 算法 。 数 字 散 列 认证 模式 使 用 一 个 唯 
值 作为 质询 ， 有 效 回应 中 包含 了 用 户 名 、 口 令 、 给 定 唯一 值 、HTTP 方法 、 所 请 求 URL 的 检 
查 和 默认 时 的 MD5 检验 和 。 在 这 种 方式 中 ， 从 不 会 以 明文 形式 发 送 口令 。 

与 基本 认证 模式 相同 ， 数 字 散 列 认证 预先 必须 定义 用 户 名 和 口令 。 这 是 一 个 基于 口令 的 
系统 ， 面 临 着 所 有 基于 口令 系统 相同 的 问题 。 特 别 是 ， 这 种 协议 没有 定义 如 何在 建立 口令 时 
保护 它 的 安全 。 

实现 中 可 选择 不 接受 以 前 使 用 过 的 唯一 值 或 以 前 使 用 过 的 摘要 ， 目 的 是 阻止 重 放 攻击 。 
实现 中 也 可 以 选择 使 用 一 次 一 个 唯一 值 或 一 次 一 个 摘要 的 方式 。 这 个 唯一 值 对 于 客户 端 来 说 
是 透明 的 ， 它 由 服务 器 指定 ， 客 户 端 只 是 不 加 修改 地 把 它 返 回 给 服务 器 。 尽 管 这 种 认证 模式 
中 没有 实际 发 送 口令 ， 但 发 送 了 它 的 消息 摘要 ， 黑 客 能 利用 生成 的 消息 摘要 来 获取 对 内 容 的 
访问 ， 原 因 在 于 口令 摘要 是 访问 这 样 的 网 站 唯一 所 需 的 信息 。 

3. NTLM 认证 


NTLMQNTLanMan) 是 一 个 基于 质询 /响应 模式 进行 用 户 和 计算 机 认证 的 微软 专用 协议 。 

NTLM 具有 下 述 特点 : 

1) NTLM 认证 是 微软 专用 的 NTLAN Manager 认证 , 它 只 适用 于 Microsoft Intemet Explorer; 

2) 集成 的 Windows 认证 的 工作 方式 与 消息 摘要 认证 相同 。 

在 认证 过 程 开始 时 , 用 户 的 系统 (客户 端 ) 向 telnet 服务 器 发 送 一 条 登录 请 求 , 服务 器 使 用 
随机 生成 的 “ 令 牌 ”( 质 询 值 ) 应 答 客户 端 。 客 户 端 使 用 质询 值 对 当前 登录 用 户 加 密 保护 的 
令 进行 散 列 化 ， 并 把 散 列 结果 发 送 给 服务 器 。 服 务 器 收 到 质询 散 列 的 响应 之 后 ， 将 它 与 已 知 
的 正确 响应 相 比较 , 如 果 两 者 匹配 , 那么 用 户 认证 成 功 。 但 是 , 这 种 做 法 并 不 安全 , 因为 NTLM 
散 列 值 能 够 被 暴力 破解 。 


4. 数字 证 书 认 证 

数字 证 书 是 一 个 电子 文档 ， 它 包含 了 身份 信息 、 公 钥 并 使 用 认证 中 心 私 钥 签 署 的 数字 签 
名 。 和 希望 发 送 解密 消息 的 个 体 向 认证 中 心 (CA，Certificate Authority) 申 请 数字 证 书 。 认 证 中 心 
是 一 个 签署 证 书 的 权威 机 构 ， 它 能 担保 证 书 持 有 人 的 身份 。CA 发 行 的 加 密 数 字 证 书 中 包含 
了 申请 人 的 公 钥 及 其 他 各 种 身份 信息 ， 它 通过 印刷 媒体 或 互联 网 公布 自己 的 公 钥 。 
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数字 证 书 认 证 具有 下 述 特点 : 

1) 数字 证 书 认证 比 其 他 形式 的 认证 更 健壮 ; 

2) 数字 证 书 认证 使 用 了 公开 密 钥 密码 学 , 数字 证 书 能 够 存储 在 智能 卡 上 ， 从 而 进一步 提 
高 安全 性 ; 

3) 目前 尚 不 知道 存在 针对 PKI 安全 的 攻击 。 

当 用 户 连 接 到 服务 器 上 进行 认证 时 ， 他 向 服务 器 提供 自己 的 数字 证 书 ， 证 书 中 包含 了 公 
钥 和 CA 签名 。 服 务 器 首先 验证 证 书 上 的 签名 是 否 有 效 、 是 否 由 信任 CA 生成 。 通 过 后 ， 服 
务 器 使 用 公开 密 钥 加 密 算法 认证 用 户 ， 证 实 其 确实 拥有 与 该 证 书 相 关联 的 私 钥 。 加 密 消息 的 
接收 方 使 用 CA 的 公 钥 解密 附着 在 消息 上 的 数字 证 书 ， 验 证 它 的 真 伪 。 通 过 后 ， 得 到 包含 在 
证 书 中 的 发 送 方 的 公 钥 和 身份 信息 。 利 用 这 些 信 息 ， 接 收 方 可 发 送 一 个 加 密 应 答 。 数 字 证 书 
最 广泛 使 用 的 标准 是 X.509。 数 字 证 书 应 经 得 到 了 广泛 的 使 用 。 

下 面 是 在 认证 中 使 用 数字 证 书 的 一 些 示 例 : 

1) 电子 邮件 : 很 多 人 使 用 数字 证 书 来 加 密 电 子 邮 件 (提供 机 密 性 ) 或 签署 电子 邮件 (证 
实 身份 )。 

2) 网 络 安全 : 很 多 机 构 (包括 一 些 网 上 银行 ) 都 部 署 了 使 用 数字 证 书 的 智能 卡 或 其 他 安全 
技术 ， 以 此 作为 提高 他 们 的 计算 机 网 络 安全 性 的 一 种 途径 。 


5. 表单 认证 


通常 情况 下 ，Web 应 用 程序 用 来 认证 自己 用 户 的 凭据 是 Web 表单 ， 它 同时 也 决定 着 用 
户 的 授权 级 别 。 表 单 认证 具有 下 述 特点 : 

e 这 是 一 种 高 度 可 定制 的 认证 机 制 ， 它 使 用 HIML 中 的 <FORM> 和 <INPUT> 标 记 构造 
表单 ， 形 成 供用 户 输入 其 用 户 名 /口令 的 字段 。 

e 在 用 户 输入 了 用 户 名 /口令 ， 通 过 HITP 或 SSL 发 送 给 服务 器 之 后 ， 服 务 器 端的 业务 
逻辑 评估 用 户 名 /口令 的 有 效 性 , 如 果 凭据 有 效 ， 服 务 器 就 像 客 户 端 发 送 一 个 Cookie， 
以 便 随 后 的 页 面 访问 。 

e 表单 认证 技术 是 互联 网 上 流行 的 认证 技术 。 

e 客户 端 生成 访问 保护 资源 (比如 交易 细节 ) 的 请 求 。 

eIIS(Intemet Information Server) 收 到 请 求 。 如 果 请 求 的 客户 端 得 到 了 IS 的 认证 ， 那 么 
用 户 /客户 端 进入 到 Web 应 用 中 。 如 果 打 开 了 匿名 访问 支持 ， 客 户 端 默认 地 进入 到 
Web 应 用 中 。 否 则 ，Windows 提示 用 户 输入 访问 服务 器 资源 的 凭证 。 

e 如 果 客 户 端 不 包括 有 效 的 认证 凭据 Cookie，Web 应 用 将 用 户 带 到 提示 用 户 输入 凭证 
的 页 面 。 

e 在 提供 所 需 凭证 后 ， 用 户 得 到 Web 应 用 的 认证 。Web 应 用 确定 了 请 求 的 授权 级 别 。 
如 果 客 户 端 被 授予 访问 安全 资源 的 权限 ， 认 证 凭据 最 终 被 分 配给 客户 端 。 如 果 认 证 
失败 ， 将 向 客户 端 返回 拒绝 访问 的 消息 。 


5.6.3 口令 破解 工具 


了 解 口令 的 加 密 方式 后 ， 下 面 考察 一 些 用 于 破解 口令 的 工具 ， 这 些 工 具 所 遵循 的 攻击 策 
略 不 外 乎 字典 攻击 、 暴 力 攻击 以 及 混合 攻击 。 
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1. LOphtcrack 


如 果 不 喜欢 使 用 命令 行 工 具 破解 口令 ， 那 么 可 以 使 用 LOphtcrack， 它 也 称 为 LC5， 是 一 
个 用 于 破解 Windows 口令 的 图 形 用 户 界面 工具 。LOphtcrack 曾 是 市 场 上 最 著名 的 口令 破解 工 
具 ， 它 最 初 由 @Stake 公司 开发 ， 于 2004 年 被 Symantec 公司 收购 ， 从 2006 开始 ，Symantec 
不 再 发 行 LC5， 但 依然 可 从 网 络 上 找到 LCS5 安装 程序 ， 这 是 一 个 15 天 的 试用 版 本 ， 但 从 网 
上 可 以 找到 一 个 该 工具 的 序列 号 生成 器 ， 从 而 更 长 时 间 地 应 用 这 个 工具 。 由 于 LCS5 已 经 不 再 
得 到 开发 支持 ， 也 可 改 用 Cain and Abel、John the Ripper 或 Ophcrack 进行 口令 破解 。 

利用 LOphtcrack， 能 够 完成 下 述 任务 : 

1) 破解 本 地 计算 机 的 口令 ; 

2) 破解 远程 计算 机 的 口令 ; 

3) 通过 使 用 NT4.0ERD 破解 口令 ; 

4) 通过 嗅 探 网 络 破解 口令 。 

LOphtcrack 能 够 进行 字典 攻击 、 混 合 攻击 和 暴力 攻击 ， 它 还 能 够 评价 口令 的 难度 ， 这 将 
有 助 于 编写 渗透 测试 报告 。 

2. Nutcracker 


Linux 和 其 他 UNIX 变种 在 口令 加 密 过 程 中 使 用 了 加 盐 , 目的 是 为 了 让 口令 难以 被 破解 。 
不 要 受 人 为 破解 Linux 和 其 他 UNIX 变种 平台 的 口令 速度 很 慢 这 一 点 的 迷惑 ， 对 /etc/shadow 
文件 依然 可 以 进行 快速 的 字典 攻击 。 

Nutcracker 或 许 是 速度 最 快 的 UNIX/Linux 口令 破解 器 ,这 个 工具 由 Ryan Rhea 开发 。 由 
于 Nutcracker 是 一 个 字典 破解 程序 ， 因 此 要 求 使 用 字典 文件 。Nutcracker 本 身 携带 了 一 个 包 
含 2400 个 词汇 的 示例 字典 ， 但 必要 时 应 该 创建 自己 的 字典 。 


3. Snadboy Revelation 


很 多 应 用 程序 都 提供 了 保存 口令 的 选项 ， 这 个 做 法 很 危险 ， 原 因 在 于 能 登录 计算 机 的 任 
可 人 都 可 以 不 加 认证 地 登录 到 这 样 的 应 用 程序 中 。 更 大 的 危险 在 于 ， 人 们 经 常 重用 口令 ， 这 
就 是 说 ， 如 果 有 人 掌握 了 一 个 人 在 某 个 应 用 程序 中 使 用 的 口令 ， 那 么 它 就 很 有 可 能 使 用 这 个 
令 登 录 到 此 人 所 使 用 的 其 他 应 用 程序 中 。 

Revelation 是 一 个 提取 隐藏 口令 的 工具 ,隐藏 的 口令 通常 在 界面 上 显示 为 一 连 串 的 星 号 (*) 
或 和 号 。 假 如 一 个 应 用 程序 使 用 了 用户 名 andrew 和 口令 1r66nbg。 虽然 它 的 口令 被 显示 为 一 
串 X， 但 Revelation 依然 得 到 并 显示 了 这 个 应 用 程序 的 口令 。 由 于 人 们 通常 会 重用 口令 ， 因 
此 可 将 这 个 口令 应 用 到 该 用 户 会 使 用 的 其 他 应 用 程序 上 ， 如 电子 邮件 或 记 账 软件 上 。 


4. Boson GetPass 一 破解 Cisco 路 由 器 口令 


本 节 前 面 介绍 的 内 容 都 是 阐述 UNIX 和 Windows 系统 中 口令 破解 的 工具 。 网络 上 的 其 
他 主机 也 有 口令 ,特别 是 ，Cisco 路 由 器 包含 了 恶意 黑客 能 够 破解 并 获取 访问 权 的 口令 。 为 
了 评估 恶意 攻击 成 功 的 可 能 性 ， 渗 透 测 试 人 员 也 必须 对 这 类 设备 的 口令 进行 破解 。 

在 介绍 如 何 破解 Cisco 设备 口令 之 前 ,我 们 需要 了 解 Cisco 口令 的 工作 方式 。Cisco 路 由 
器 具有 两 种 运行 模式 : 
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1) 用 户 执行 模式 (User exec mode) 一 一 用 户 执行 模式 就 像 旅店 的 大 厅 ， 可 以 进去 看 一 看 ， 
但 做 不 了 什么 事情 。 在 用 户 执行 模式 下 可 以 查看 界面 的 状态 、 路 由 表 以 及 执行 其 他 信息 收集 
任务 ， 但 不 能 进行 配置 ; 

2) 特权 执行 模式 (Privileged exec mode) 一 一 特权 执行 模式 就 像 拥 有 了 旅馆 中 能 够 打开 所 
有 房间 大 门 的 万 能 钥匙 一 样 ， 可 以 做 自己 想 做 的 一 切 事情 。 在 获取 特权 执行 模式 后 ， 就 可 以 
完整 访问 路 由 器 的 配置 。 在 用 户 执行 模式 转移 到 特权 执行 模式 时 可 以 设置 口令 。 因 此 ， 保 护 
好 这 个 口令 对 保护 路 由 器 的 安全 至 关 重 要 。 进 入 特权 执行 模式 时 有 两 种 方式 提供 口令 ， 明 文 
令 支 持 和 秘密 口令 支持 。 


5.6.4 检测 口令 破解 


根据 攻击 发 生 的 类 型 不 同 ， 检 测 口令 破解 也 可 能 是 一 件 困难 的 任务 。 当 黑客 进行 标准 的 
暴力 破解 或 字典 口令 破解 时 ， 他 通常 要 向 目标 发 送 成 千 上 万 的 可 能 用 户 名 和 口令 进行 尝试 。 
当 某 个 用 户 名 /口令 组 破解 成 功 后 ， 黑 客 就 会 开始 下 一 步 工 作 ， 获 取 系统 的 访问 。 黑 客 破解 口 
令 的 另 一 种 方法 是 获取 系统 的 物理 访问 ， 然 后 盗窃 口令 文件 和 数据 库 。 如 果 所 有 这 些 工作 都 
过 于 困难 而 无 法 完成 时 ， 黑 客 就 会 转向 实施 最 基础 的 社会 工程 攻击 。 下 面 介绍 能 够 用 于 观察 
令 破解 攻击 的 一 些 位 置 和 方法 。 需 要 注意 的 是 ， 物 理 访问 系统 的 危险 极 具 破坏 性 ， 当 黑客 
复制 了 包含 口令 的 文件 (如 Windows SAM 文件 ) 后 ， 整 个 系统 就 可 以 说 已 经 被 黑客 控制 了 。 

1. 网 络 流量 

在 交换 网 络 中 , 如 果 没 有 支持 SPAN 端口 的 合适 设备 , 监控 网 络 流量 就 是 件 困难 的 事情 。 
在 克服 了 这 个 障碍 之 后 ， 可 以 使 用 网 络 嗅 探 器 将 所 有 流量 记录 到 硬盘 上 ， 用 于 以 后 的 分 析 。 
前 面 曾经 提 到 , 口令 猜测 会 在 短 时 间 内 向 目标 系统 发 送 成 千 上 万 的 测试 用 户 名 和 口令 。 比 如 ， 
可 让 Brutus 使 用 字典 口令 猜测 方法 猜测 任何 Telnet 服务 器 的 口令 , 如 Windows Server 或 PIX 
Firewall。 在 这 样 的 攻击 中 ，Brutus 能 在 最 短 时 间 内 发 送 尽 可 能 多 的 用 户 名 和 口令 ， 通 过 运用 
网 络 噢 探 器 能 够 发 现 这 类 大 量 出 现 的 攻击 企图 。 在 正常 的 运行 过 程 中 ， 登 录 并 不 集中 ， 而 是 
零散 的 。 因 此 ， 当 某 台 机 器 短 时 间 内 发 出 大 量 登录 尝试 时 ， 就 可 以 认为 发 生 了 黑客 攻击 。 但 
是 ， 这 种 方法 需要 耗费 大 量 时 间 ， 因 此 通常 在 使 用 其 他 方法 发 现 了 攻击 企图 后 再 采用 这 个 方 
法 进一步 跟踪 攻击 。 

2. 系统 日 志文 件 

检测 登录 失败 的 另 一 个 更 好 的 位 置 是 目标 计算 机 的 系统 安全 日 志文 件 。 当 打开 记录 失败 
登录 请 求 后 ， 日 志文 件 提供 了 登录 尝试 的 详细 信息 ， 包 括 时 间 、 日 期 、 用 户 名 等 。 典 型 情况 
下 会 看 到 大 量 的 登录 企图 。 

3. 应 对 账户 锁定 

在 运用 口令 猜测 过 程 中 ， 黑 客 都 会 遇 到 一 个 “账户 锁定 ”问题 。 默 认 情况 下 ， 不 管用 户 
账户 尝试 登录 了 多 少 次 , 标准 Windows 计算 机 都 不 会 锁定 用 户 账 户 。 这 样 默认 设置 的 系统 是 
黑客 攻击 梦 宁 以 求 的 系统 ， 它 可 以 花费 数 日 时 间 来 攻击 同一 个 账户 ， 如 administrator， 直 到 
成 功 为 止 。 
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素质 良好 的 系统 管理 员 会 手工 配置 登录 设置 ， 如 每 发 现 5 次 连续 的 失败 登录 ， 就 锁定 用 
户 账户 30 分 钟 。 当 脚本 小 子 遇 到 账户 锁定 时 , 他 们 通常 就 会 转移 到 攻击 用 户 列表 中 的 下 一 个 
用 户 。 他 们 一 直 使 用 这 个 账户 ， 直 到 该 账户 被 锁定 为 止 。 最 后 ， 目 标 系统 的 管理 员 将 会 听 到 
合法 用 户 抱怨 不 能 登录 系统 。 如 果 很 多 人 都 在 抱怨 不 能 登录 时 ， 这 就 是 口令 猜测 攻击 正在 进 
行 的 明显 信号 。 这 种 方法 也 是 针对 办 公 环 境 进行 拒绝 服务 攻击 的 一 种 卑鄙 手 段 。 当 锁定 了 系 
统 的 每 个 账户 之 后 ， 工 作 就 会 被 中 断 至 少 30 分 钟 ,任何 用 户 都 无 法 登录 ,除非 其 间 管理 员 手 
工 解锁 账户 。 那 么 黑客 高 手 会 怎么 做 呢 ? 黑客 高 手 最 多 锁定 账户 一 次 ， 或 者 根本 就 不 会 锁定 
账户 。 假 设 锁定 设置 为 5， 黑客 高 手 会 缓慢 地 攻击 3~4 次 ， 然 后 等 待 30 分 钟 的 时 间 ， 再 进行 
下 一 轮 攻击 。 经 过 一 周 或 一 个 月 的 时 间 ， 他 最 终 会 获取 系统 的 访问 权 。 因 此 ， 即 使 已 经 设置 
了 账户 锁定 策略 ， 也 要 经 常 观 察 一 下 日 志文 件 ， 看 是 否 存在 问题 。 


4. 物理 访问 


检测 口令 文件 (比如 Windows SAM 文件 或 Linux shadow 文件 ) 的 物理 丢失 十 分 困难 。 当 
这 样 的 文件 失窃 后 ， 黑 客 可 以 在 自己 家 中 耗费 任意 长 短 的 时 间 来 破解 其 中 的 口令 。 口 令 文 件 
丢失 的 标识 包括 : 破门 进入 办 公 室 、 笔 记 本 或 其 他 电脑 丢失 、 备 份 磁带 丢失 、 陌 生 的 管理 员 
账户 活动 等 。 某 次 事故 后 不 和 久 ， 目 标 系统 管理 员 发 现 用 户 在 不 正常 的 时 间 登 录 系 统 ， 这 也 表 
示 黑 客 对 口令 文件 进行 了 破解 。 


5. 垃圾 搜寻 和 按键 记录 


垃圾 搜寻 和 按键 记录 也 可 以 被 归 类 为 物理 访问 。 垃 圾 搜寻 包括 从 垃圾 箱 中 翻 检 昌 硬盘 、 
便签 及 可 以 用 于 搜寻 用 户 名 和 口令 的 其 他 东西 。 如 果 系统 管理 员 某 一 天 上 班 后 发 现 停车 场 或 
办 公 室 的 垃圾 箱 周围 垃圾 四 溅 ， 通 常 就 可 能 是 业余 黑客 在 垃圾 中 搜索 用 户 名 和 口令 。 

按键 记录 器 是 黑客 安装 的 一 种 软件 或 者 是 某 种 智能 设备 ， 它 安装 在 计算 机 和 键盘 之 问 ， 
看 起 来 像 键盘 适配器 。 利 用 这 此 设备， 黑客 能 够 捕获 键盘 上 发 出 的 每 一 个 按键 。 现 在 有 一 些 
可 以 检测 软件 按键 记录 器 的 软件 ， 但 硬件 按键 记录 器 则 难以 检测 。 作 为 管理 员 ， 应 该 每 天 近 
视 服务 器 的 连接 ， 以 便 发 现 可 能 安装 的 物理 按键 记录 器 。 与 其 他 物理 访问 相似 ， 按 键 记录 器 
也 不 容易 被 发 现 。 

6. 社会 工程 


最 难 监测 的 方法 之 一 实际 上 是 社会 工程 。 黑 客 可 以 通过 训练 有 素 的 技巧 ， 使 用 电话 直接 
询问 用 户 的 用 户 名 和 口令 ， 借 口 通 常 是 系统 维护 ， 没 有 经 过 安全 训练 的 用 户 会 轻信 这 样 的 电 
话 ， 给 出 自己 的 用 户 名 和 口令 。 这 样 的 方式 更 难以 检测 ， 只 有 等 用 户 将 这 样 的 情况 报告 安全 
小 组 的 管理 员 之 后 ， 才 会 发 现 丢失 了 用 户 名 和 口令 ， 而 发 现 这 个 事情 时 ， 往 往 系统 已 经 被 清 
洗 一 遍 了 。 另 一 种 形式 的 社会 工程 技巧 是 背后 偷 宕 。 


5.6.5 ”避免 或 减轻 口令 破解 风险 


避免 口令 破解 很 困难 ， 也 不 容易 介绍 这 方面 的 所 有 要 做 的 工作 。 总 之 ， 基 本 上 不 能 够 完 
全 阻止 口令 破解 ， 但 能 使 破解 很 困难 ， 从 而 让 它 成 为 一 条 黑客 不 能 攻击 系统 的 途径 。 下 面 介 
绍 一 些 应 该 在 自己 的 系统 中 实现 的 实践 ， 实 现 的 程度 依赖 于 具体 环境 的 要 求 。 
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1. 口令 审计 
和 也 应 该 定期 行 口令 审计 。 安 全 专业 人 员 应 该 建议 用 户 使 用 


长 度 较 长 的 复杂 口令 ， 因 为 口令 过 短 则 十 分 容易 被 破解 。 比 如 ， 一 个 简单 的 7 字符 口令 数 / 
时 就 能 够 破解 出 来， 而 要 破解 一 个 14 个 字符 长 度 的 口令 可 能 要 桥 费 数 月 的 时 间 。 审计 有 助 ] 
管理 员 迅 速 找到 口令 中 的 弱点 。 

2. 记录 账户 登录 日 志 与 账户 锁定 策略 

基本 上 所 有 系统 (包括 Windows 和 UNIX 操作 系统 、 路 由 器 、 防 火 墙 及 其 他 可 管理 设备 
等 ) 都 实现 了 记录 账户 登录 日 志 的 功能 。 如 果 我 们 不 记录 失败 登录 尝试 ， 那 么 可 能 永远 也 不 会 
发 现 黑客 从 早 到 晚 党 试 进入 系统 的 企图 。 路 由 器 和 防火 墙 的 日 志 配置 比较 简单 ， 参 考 一 下 相 
应 的 帮助 文件 即 可 。Windows 系统 可 以 配置 为 在 安全 事件 日 志 中 同时 记录 成 功 登录 和 失败 登 
录 事 件 。 总 之 ， 不 管 使 用 什么 方法 ， 一 定 要 确保 最 终 收集 了 所 有 服务 器 上 的 日 志 。 

防止 口令 破解 的 一 种 不 错 方法 就 是 用 户 账户 锁定 策略 。 例 如 ， 在 账户 锁定 之 前 ， 李 明 每 
分 钟 能 够 进行 1000 次 口令 尝试 ， 但 在 使 用 了 账户 锁定 后 ， 要 尝试 1000 次 口令 猜测 ， 需 要 花 
费 125 个 小 时 。 然而， 黑客 可 以 利用 账户 锁定 的 这 个 特性 来 发 起 DoS 攻击 ， 然 后 通过 其 他 渠 
道 获取 口令 ， 如 通过 运用 社会 工程 。 

口令 设置 与 物理 保护 

与 账户 锁定 一 起 设置 的 选项 还 包括 口令 长 度 、 历 史 及 口令 过 期 时 间 。 口 令 越 长 、 越 复杂 ， 
令 被 猜 中 的 可 能 性 就 越 小 。 微 软 Windows 系统 提供 了 这 些 选项 设置 , 不 过 , 在 默认 安装 时 ， 
它们 都 是 关闭 的 ， 也 就 是 说 ， 这 些 系 统 允 许 0 长 度 口令 ， 也 不 提醒 用 户 更 换 口 令 。 
怎么 强调 服务 器 和 客户 端 计算 机 的 物理 保护 都 不 过 分 。 黑 客 所 使 用 的 所 有 工具 都 需要 得 
到 SAM 数据库、shadow 文件 的 备份 ， 或 者 从 这 些 文件 中 提取 出 数据 。 在 获得 这 些 信息 后 ， 
就 可 以 进行 脱 机 暴力 破解 了 。 当 拥有 了 管理 员 权限 后 ， 可 使 用 pwdump3、pwdump6 这 样 的 
工具 跨越 网 络 或 从 本 地 主机 上 提取 出 SAM 的 内 容 。 但 是 ， 如 果 黑 客 没有 管理 员 权 限 ， 就 无 
法 从 网 络 口令 文件 中 得 到 用 户 名 和 口令 。 


4. 员工 安全 教育 和 策略 


向 员工 提供 口令 破解 的 风险 信息 及 口令 破解 的 难 易 程度 ， 雇 员 就 有 机 会 认识 到 口令 的 重 
要 性 。 实 现 口令 设置 建议 及 更 换 口令 的 过 程 有 助 于 击 退 破解 者 的 攻击 ， 甚 至 击败 社会 工程 的 
攻击 。 社 会 工程 攻击 难以 防御 ， 特 别 是 用 户 没有 得 到 系统 的 风险 培训 时 更 是 如 此 。 不 管 公司 
的 大 小 ， 都 应 该 教育 员工 使 用 唯一 口令 、 不 把 口令 写 下 来 、 不 向 任何 人 披露 口令 及 用 户 名 。 

在 正常 办 公 环 境 中 ， 绝 大 多 数 员 工 在 日 常 工作 中 都 不 关心 安全 问题 ， 当 然 系统 管理 员 例 
外 。 应 该 教育 网 络 用 户 关注 安全 问题 ， 并 使 每 个 元 素 都 保持 安全 状态 。 办 公 室 都 应 该 实现 安 
全 警示 制度 。 保 护 口 令 安 全 、 减 少 口令 破解 机 会 的 措施 包括 下 面 内 容 : 

e 解释 原因 : 负责 安全 的 领导 十 分 关注 口令 安全 ;屏幕 保护 口令 很 重要 ， 应 该 使 用 比 

较 长 的 口令 ; 使 用 BIOS 口令 。 

e 应 该 告诉 用 户 避 免 发 生 下 述 事 件 : 所 有 地 方 都 使 用 相同 的 口令 ; 使 用 任何 形式 的 增 

量 口令 ， 如 第 一 次 使 用 了 口令 abcd123， 下 一 次 使 用 abcd124 等 ， 把 口令 写 到 纸 上 ; 


第 5 章 ”软件 安全 动态 渗透 测试 。167。 


在 家 里 的 计算 机 上 和 办 公 室 的 计算 机 上 使 用 相同 的 口令 ;安装 非 授权 软件 ， 向 其 他 
任何 人 披露 口令 ， 对 电话 询问 用 户 账户 和 口令 问题 作出 回答 。 

员工 安全 培训 有 助 于 减少 可 能 的 社会 工程 攻击 ， 帮 助 用 户 理 解 为 什么 要 制定 这 样 的 规 
则 。 当 用 户 理解 了 这 些 规则 的 内 涵 后 ， 他 们 就 更 可 能 遵守 这 些 规则 。 


5.7 会 话 动 持 


在 海盗 电影 中 ， 我 们 经 常 看 到 ， 毫 无 准备 的 货船 被 海盗 征服 。 这 种 劫持 行为 发 生 在 货 
船 进入 海盗 经 常 出 没 的 海域 中 。 会 话 劫持 与 海盗 动 持 货船 的 过 程 有 几 分 像 。 目 标 根本 不 知 
道 该 会 话 已 经 被 劫持 ， 因 此 授予 人 们 各 种 权限 ， 就 像 人 们 授权 主机 一 样 。 

会 话 劫持 (Session Hijack) 是 一 种 结合 了 嗅 探 及 欺骗 技术 在 内 的 攻击 手段 。 广 义 上 说 ,会 
话 劫持 就 是 在 一 次 正常 的 通信 过 程 中 ， 黑 客 作为 第 三 方 参与 到 其 中 ， 或 在 数据 流 (例如 基于 
TCP 的 会 话 ) 里 注入 额外 信息 , 或 者 是 将 双方 的 通信 模式 暗中 改变 , 即 从 直接 联系 变 成 由 黑客 
联系 。 会 话 劫持 是 一 种 内 网 攻击 手段 ， 黑 客 可 以 通过 破坏 已 建立 的 数据 流 而 实现 劫持 。 

本 节 介 绍 会 话 动 持 的 技术 和 工具 ， 同 时 说 明 检测 和 抵御 这 种 攻击 的 方法 。 


5.7.1 ”什么 是 会 话 动 持 


现在 打 一 个 比喻 : 假设 你 去 市 场 买 菜 ， 在 交 完 钱 后 你 要 求 先 去 干 一些 别 的 事情 ， 稍 后 再 
来 拿 菜 ， 如 果 这 个 时 候 某 个 陌生 人 要 求 把 菜 拿 走 ， 卖 菜 的 人 会 把 菜 给 陌生 人 吗 ? 当然， 这 只 
是 一 个 比喻 ， 但 这 恰恰 就 是 会 话 劫持 的 寓意。 所 谓 会 话 ， 就 是 两 台 主机 之 间 的 一 次 通信 。 例 
如 ， 使 用 Telnet 登录 到 某 台 主机 ， 这 就 是 一 次 Telnet 会 话 ， 浏 览 某 个 网 站 时 ， 这 就 是 一 次 
HTTP 会 话 。 会 话 劫持 就 是 结合 了 嗅 探 及 欺骗 技术 在 内 的 攻击 手段 。 例 如 ， 在 一 次 正常 的 会 
话 过 程 当中 ， 攻 击 者 作为 第 三 方 参与 到 其 中 ， 他 可 在 正常 数据 包 中 插入 恶意 数据 ， 也 可 在 双 
方 的 会 话 中 进行 监听 ， 甚 至 可 代替 某 一 方 主机 接管 会 话 。 

会 话 劫持 是 一 种 接管 两 台 主 机 之 间 活 动 会 话 的 行为 。 这 与 卫 欺骗 不 同 ， 在 人 P 欺骗 中 ， 
我 们 假冒 另 一 台 主 机 的 卫 地 址 或 MAC 地 址 。 使 用 人 P 欺骗 时 ， 依 然 需要 得 到 目标 认证 。 而 
在 会 话 动 持 中 ,接管 了 已 经 得 到 目标 认证 的 会 话 。 这 里 也 可 以 假冒 主机 的 下 地 址 或 MAC 地 
址 ， 但 它 包括 了 比 假冒 更 多 的 内 容 。 由 于 被 支持 主机 已 经 得 到 了 目标 的 认证 ， 因 此 会 话 支持 
对 于 恶意 攻击 者 具有 很 大 的 吸引 力 。 这样, 恶意 攻击 者 就 不 需要 花费 大 量 时 间 进行 口令 破解 ， 
他 也 不 关心 认证 过 程 有 多 么 安全 。 原 因 在 于 对 大 多 数 系统 来 说 ， 完 成 认证 后 ， 就 开始 使 用 明 
文 进行 通信 了 。 这 种 工作 方式 使 得 大 多 数 计算 机 都 会 被 这 种 类 型 的 攻击 侵入 。 

会 话 动 持 攻击 有 两 种 类 型 : 

1) 主动 型 :找到 活动 会 话 ， 并 接管 这 个 会 话 ， 从 而 攻 入 目标 主机 。 

2) 被 动 型 这 种 类 型 的 动 持 攻击 首先 动 持 会 话 ， 然 后 记录 目标 与 主机 之 间 的 所 有 流量 。 
主动 型 劫持 总 是 首先 完成 被 动 型 劫持 攻击 者 。 

另外 ， 还 要 区 分 会 话 重 放 (Session Replay) 和 会 话 劫持 。 这 两 种 攻击 都 是 中 间 人 攻击 
(Man-in-the-Middle)， 但 在 会 话 重 放 中 ， 中 间 人 捕获 数据 包 ， 并 在 发 送 给 目标 之 前 修改 其 中 的 
数据 。 而 在 真实 的 会 话 劫持 中 ， 通 过 假冒 源 主机 (或 目标 主机 )、 将 TCP 序列 号 修改 为 与 源 主 
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机 和 目标 主机 相 匹 配 的 序列 号 ， 从 而 接管 焉 会话。 常见 的 情况 是 ， 在 假冒 源 主机 的 过 程 中 ， 
对 源 主机 发 起 拒绝 服务 攻击 ， 使 其 离线 。 
经 常 使 用 的 会 话 劫持 工具 有 : Huggemaut, Hunt, TTY Watcher 和 T-Sight。 


5.7.2 ”ACK 洪流 问题 


执行 了 几 次 会 话 劫持 后 ， 就 会 发 现 ACK 洪流 (Acknowledgement Storm) 的 危险 ， ACK 洪流 
很 快 就 会 充斥 网 络 ， 从 而 潜在 地 摧毁 网 络 。 前 面 已 经 介绍 了 TCP 序列 号 预测 的 重要 性 ， 当 发 
送 了 一 个 错误 的 序列 号 时 ， 接 收 方 认为 最 后 一 个 应 答 被 丢失 ， 因 此 就 重 发 最 后 一 个 应 答 ， 作 为 
响应 ， 原 始 主机 返回 自己 的 应 答 ， 以 便 重 新 同步 序列 号 。 在 正常 TCP 操作 中 ， 这 种 设计 方案 
很 理想 ， 它 支持 了 可 靠 的 数据 传输 。 但 是 ， 当 恶意 黑客 或 渗透 测试 人 员 注 入 了 带 有 错误 序列 号 
的 数据 包 时 ， 在 主机 和 目标 之 前 发 送 的 响应 会 以 指数 方式 增长 ， 从 而 造成 网 络 阻塞 。 由 于 现在 
正在 假冒 主机 的 他 地 址 ， 因 此 ACK 数据 包 被 发 送 到 原始 主机 ， 以 便 重 新 同步 序列 号 。 


5.7.3 ”检测 会 话 劫持 


会 话 劫持 能 做 得 难以 检测 ， 除 非 攻击 者 引起 了 严重 的 损害 或 故意 要 引起 人 们 对 入 侵 行为 
的 注意 ， 和 否则 绝 大 多 数 情况 下 可 以 毫 不 引 人 注 意 。 

在 会 话 劫持 过 程 中 用 户 会 发 现 一 些 现象 ， 其 中 比较 常见 的 如 下 

1) 客户 端 应 用 程序 的 会 话 停止 响应 或 看 起 来 被 冻结 了 ; 

2) 短 时 间 内 突 发 的 网 络 活动 ， 这 些 活动 减 慢 了 计算 机 的 运行 速度 ; 

3) 客户 端 应 用 程序 挂 起 一 段 时 间 , 原因 在 于 用 户 实际 上 在 与 黑客 竞争 会 话 资源 , 黑客 也 
在 向 服务 器 发 送 数 据 。 这 种 做 法 迷惑 了 应 用 程序 ， 使 其 等 待 第 4 层 的 响应 ; 

4) 网 络 变 得 很 已 ， 原 因 在 于 ， 当 被 劫持 的 客户 端 试 图 向 服务 器 发 送 更 多 不 同 的 数据 时 ， 
在 原始 客户 端 与 服务 器 间 形 成 了 ACK 洪流。 普通 用 户 甚至 高 级 别 用 户 都 很 少 会 报告 后 两 种 
现象 ， 因 为 这 些 问 题 看 起 来 与 其 他 常见 问题 很 相像 ， 如 应 用 程序 崩溃 、 服 务 器 忙碌 、 网 络 负 
载 很 重 等 。 

看 到 “ 挂 起 ”应 用 程序 的 用 户 通常 关闭 该 应 用 ， 然 后 再 重新 打开 。 与 此 同时 ， 黑 客 或 许 
已 经 使 用 真实 用 户 先前 创建 的 已 认证 会 话 收 获 了 丰硕 成 果 。 安 全 专业 人 员 能 够 使 用 几 种 工具 
来 协助 会 话 劫持 检测 ， 下 面 两 节 将 要 讨论 包 嗅 探 和 入 侵 检测 系统 。 与 此 同时 ， 安 全 专业 人 员 
也 经 常 浏览 SANS 或 其 他 优秀 的 安全 网 站 ， 寻 找 是 否 出 现 了 可 用 的 新 工具 。 

需要 说 明 的 是 ， 交 换 并 不 能 彻底 阻 断 会 话 劫 持 。 但 在 交换 网 络 中 会 话 劫持 的 实现 难度 将 
大 幅 提高 。 会 话 劫持 可 以 发 生 在 任何 操作 系统 上 ， 它 本 身 并 不 是 一 个 操作 系统 的 问题 ， 而 是 
一 个 TCP 协议 设计 和 实现 的 自身 问题 , 其 中 TCP 协议 的 主要 目标 就 是 确保 可 靠 的 数据 传输 。 

1. 使 用 包 嗅 探 器 检测 会 话 劫持 

要 监视 会 话 动 持 可 以 使 用 包 嗅 探 器 ， 但 如 果 不 知道 哪些 流量 对 于 监视 会 话 支持 有 意义 ， 
那么 监视 就 会 存在 困难 。 需 要 监视 三 种 类 型 的 数据 包 : ARP 更 新 (重复 )， 使 用 不 同 MAC 地 
址 在 客户 端 与 服务 器 之 间 传 输 的 帧 以 及 ACK 洪流 。 在 检测 会 话 劫持 的 过 程 中 ， 要 牢记 这 三 
种 类 型 。 
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2. 使 用 Cisco IDS 检测 会 话 动 持 

正如 前 一 节 所 介绍 的 ， 检 测 会 话 劫持 可 以 使 用 包 嗅 探 的 方法 。 但 这 种 方法 要 求 网 络 管理 
员 实 时 监视 网 络 流量 , 需要 耗费 大 量 的 时 间 和 精力 , 因此 它 并 不 适用 于 企业 的 实际 应 用 环境 。 
诸如 Cisco 基于 网 络 的 4200 系统 和 IDS 系统 等 入 侵 检 测 系统 (IDS) 都 内 置 了 一 些 能 够 检测 某 
些 类 型 会 话 动 持 的 识别 标志 。 利 用 这 些 系 统 ， 网 络 管理 员 不 必 实 时 监视 网 络 流量 ， 节 省 了 大 
量 时 间 和 精力 。 


5.7.4 阻止 会 话 劫持 


会 话 劫持 是 一 件 难以 对 付 的 事情 ，IDS 监控 仅 能 基于 流量 模式 的 假定 得 到 一 种 猜测 。 
Cisco IDS 在 监控 T-Sight 会 话 劫持 方面 做 得 不 错 ， 但 在 其 他 一 些 情况 下 ， 存 在 误 报 及 漏 报 
的 现象 。 例 如 ， 如 果 原 始 客户 端 在 会 话 劫持 期 间 从 不 通信 ， 抑 或 客户 端 连 接 在 ACK 洪流 产 
生 之 前 被 重 置 ， 那 么 永远 也 不 会 触发 3250 攻击 特征 ， 从 而 攻击 在 后 台 发 生 。 这 种 现象 并 不 
是 IDS 本 身 的 缺陷 ， 而 是 由 于 没有 发 送 足够 的 可 用 流量 来 提供 可 靠 的 检测 。 阻 止 劫持 的 发 
生 才 是 真正 的 保护 。 不 管 怎么 说 ， 仅 仅 靠 观察 数据 包 流 量 的 方法 实在 太 不 可 靠 。 网 络 管理 
人 员 可 以 通过 加 密 或 签名 协议 的 方法 来 对 付 会 话 劫持 ， 虽 然 这 样 做 依旧 不 能 从 根本 上 阻止 
会 话 劫持 ， 但 可 以 有 效 增加 会 话 劫持 成 功 的 难度 。 


5.8 木马 和 后 门 的 运用 


病毒 、 木 马 和 后 门 应 用 程序 是 每 个 工作 在 信息 技术 领域 的 人 的 距 梦 。 每 年 病毒 都 造成 了 
商业 领域 巨大 的 损失 。Chemoby1 病毒 、 情 书 ( Love You) 病 毒 、 美 丽 莎 (Melissa) 病 毒 及 其 他 
病毒 都 造成 了 严重 的 经 济 损失 。 本 节 将 着 重 介 绍 木 马 、 病 毒 及 后 门 应 用 程序 。 


5.8.1 木马 和 后 门 程序 概念 


木马 : 木马 是 特洛伊 木马 的 简称 ， 英 文 为 Trojan Horse， 这 个 名 字 来 源 于 古 希 腊 传说 ， 
它 是 指 通 过 一 段 特定 的 程序 (木马 程序 ) 来 控制 一 台 计算 机 。 根 据 Web 百科 联机 字典 的 定义 ， 
木马 是 一 种 伪装 为 善良 应 用 的 破坏 性 程序 ， 最 阴险 的 木马 类 型 之 一 是 声称 能 够 帮助 你 的 计算 
机 摆脱 病毒 却 在 你 的 计算 机 中 安装 病毒 的 恶意 程序 。 木 马 通常 有 两 个 可 执行 程序 ， 一 个 是 客 
户 端 ， 即 控制 端 ， 另 一 个 是 服务 端 ， 即 被 控制 端 。 木 马 的 设计 者 为 了 防止 木马 被 发 现 ， 而 采 
用 多 种 手段 隐藏 木马 。 木 马 的 服务 一 旦 运行 并 被 控制 端 连 接 ， 其 控制 端 将 享有 服务 器 端的 大 
部 分 操作 权限 ， 如 给 计算 机 增加 口令 ， 浏 览 、 移 动 、 复 制 、 删 除 文件 ， 修 改 注册 表 ， 更 改 计 
算 机 配置 等 。 

按照 木马 系统 的 方式 及 对 系统 所 造成 的 损害 ， 可 以 对 木马 进行 分 类 。 目 前 主要 有 7 种 类 
型 的 木马 : 

e 远程 访问 木马 ， 它 为 恶意 黑客 提供 了 进入 被 控 主机 的 远程 Shell; 

e 数据 发 送 木 马 ， 它 向 黑客 发 送 敏感 数据 ， 如 口令 、 信 用 卡 信息 、 日 志文 件 、 邮 件 地 

址 、 即 时 消息 联系 人 列表 等 ， 这 个 木马 可 以 寻找 特定 的 预定 义 数据 ， 或 者 安装 键盘 
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记录 程序 ， 并 将 按键 记录 发 送 给 攻击 者 ; 

破坏 性 木马 : 它 设 计 用 于 销毁 和 删除 文件 ， 通 常 看 起 来 更 像 病 毒 ， 但 不 被 反 病 毒 程 
序 检测 到 ; 

代理 木马 ， 它 将 受害 的 计算 机 用 作 代 理 服务 器 ， 这 为 攻击 者 利用 受害 的 计算 机 做 他 
想 做 的 任何 事情 提供 了 机 会 ， 包 括 进行 信用 卡其 诈 及 其 他 非法 行为 ， 或 者 利用 该 系 
统 对 其 他 网 络 和 系统 发 起 攻击 ; 

FTP 木马 : 它 设计 用 于 打开 端口 21(FTP 传输 端口 )， 并 让 攻击 者 使 用 文件 传输 协议 
(FTP，File Transfer Protocol) 连 接 到 受害 的 计算 机 上 ; 

安全 软件 关闭 木马 : 它 用 于 在 用 户 不 知情 的 情况 下 终止 或 关闭 安全 程序 ， 如 反 病 毒 
程序 或 防火 墙 ， 这 种 类 型 的 木马 通常 与 其 他 类 型 的 木马 结合 使 用 ; 

拒绝 服务 攻击 木马 : 它 通过 发 送 无 用 流量 来 阻塞 网 络 或 主机 ， 发 起 DoS 攻击 。 很 多 
Dos 攻击 (比如 Ping of Death 和 Teardrop 攻击 ) 都 利用 了 TCP/IP 协议 的 限制 。 


尽管 每 个 木马 的 目的 都 各 不 相同 ， 但 其 运行 方式 都 是 相似 的 ， 即 将 自己 隐藏 在 主机 上 ， 


并 执行 侵入 者 指定 的 动作 。 

后 门 ackdooD: 也 称 作 Trapdoor, 它 以 一 种 未 列 入 文档 的 方式 获取 对 程序 、 联 机 服务 其 
至 整个 计算 机 系统 的 访问 。 后 门 通常 由 编写 当前 应 用 程序 的 程序 员 编写 ， 通 常 也 只 有 这 个 程 
序 员 知 道 这 个 后 门 ， 因 此 是 一 种 潜在 的 安全 风险 。 


5.8.2 


木马 与 后 门 程序 的 检测 及 预防 


木马 和 后 门 程序 的 检测 很 大 程度 上 依赖 于 它们 出 现时 间 的 长 短 及 其 欺骗 手段 的 应 用 。 比 
较 古 老 的 木马 ， 绝 大 多 数 都 能 够 被 各 种 反 病毒 工具 或 防火 墙 工具 依据 其 特征 检测 到 ， 新 的 木 
马 和 后 门 程序 可 能 会 持续 很 长 时 间 不 被 检测 到 。 检测 恶意 软件 的 工具 有 很 多 , 常用 工具 包括 : 
MD5 检查 ， 监 控 本 地 端口 ， 监 控 远 程 端口 ， 反 病毒 和 反 木 马 扫描 器 ， 入 侵 检 测 系统 。 

预防 木马 和 后 门 攻 击 终究 归结 为 持续 地 监视 系统 。 下 面 是 一 些 应 该 采取 的 预防 措施 : 


安装 补丁 : 及 时 安装 系统 及 应 用 软件 的 补丁 可 以 保持 这 些 软件 处 于 最 新 状态 ， 同 时 
也 修复 了 最 新 发 现 的 漏洞 。 通 过 漏洞 修复 ， 最 大 限度 降低 了 漏洞 利用 型 木马 在 系统 
上 植 入 的 可 能 性 。 

安装 入 侵 检测 系统 : 入 侵 检 测 系统 0DS) 并 不 能 够 真正 地 防止 木马 或 后 门 程序 ， 但 
这 些 系统 有 助 于 检测 这 类 恶意 软件 ， 并 检测 在 系统 中 防止 后 门 的 早起 信和 号。 检测 到 
ICMP 和 端口 扫描 是 即将 受到 攻击 的 第 一 个 信号 ， 管 理 员 应 该 警惕 未 来 可 能 受到 的 
攻击 。 

安装 反 病 毒 和 反 木 马 扫描 器 : 此 类 软件 包 本 身 并 不 能 防止 攻击 ， 而 只 能 检测 已 经 安 
装 在 系统 中 的 恶意 软件 。 但 是 ， 利 用 这 些 软件 提供 的 功能 ， 有 助 于 防止 未 来 可 能 发 
生 的 攻击 ， 或 者 删除 系统 中 已 经 存在 的 感染 程序 。 

安装 防火 墙 : 安装 防火 墙 能 够 大 大 增加 黑客 攻击 成 功 的 难度 。 仅 开放 绝对 需要 的 
端口 , 关闭 其 他 所 有 端口 , 这 样 将 自己 暴露 在 互联 网 上 的 横 截面 减少 到 最 低 限 度 。 
但 是 ， 当 木马 成 功 地 获取 防火 墙 保护 的 主机 或 系统 的 访问 之 后 ， 防 火 墙 就 形 同 虚 
设 了 。 

安装 基于 主机 的 入 侵 检测 系统 : 这 类 软件 包 监 视 所 有 应 用 程序 的 活动 和 进出 计算 机 
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的 每 一 个 连接 。 基 于 主机 的 入 侵 检测 系统 通常 允许 核准 或 拒绝 程序 的 执行 及 控制 哪 
些 应 用 程序 能 够 访问 互联 网 。 

e 培养 风险 意识 : 通过 对 自己 及 员工 的 风险 培训 ， 能 够 大 大 降低 成 为 牺牲 品 的 风险 。 告 诉 
每 一 个 人 避免 安装 可 疑 软 件 或 从 互联 网 上 下 载 软件 ， 仔 细 观 察 任何 不 寻常 的 程序 或 进程 
(要 查看 进程 ， 可 使 用 Windows 任务 管理 器 ， 也 可 以 使 用 其 他 进程 查看 软件 )。 


5.9 常见 服务 器 的 渗透 


上 一 节 介绍 了 在 渗透 测试 过 程 中 能 够 用 于 目标 主机 的 木马 和 其 他 后 门 程序 ， 本 节 将 介绍 
测试 服务 器 漏洞 的 其 他 方法 ， 主 要 介绍 最 流行 的 两 个 操作 系统 平台 系列 上 的 漏洞 利用 ， 它 们 
是 UNIX 平台 (包括 Linux) 和 Microsoft 的 Windows 平台 。 

无 论 测试 哪个 服务 器 平台 ， 一 般 来 说 ， 首 先 要 使 用 漏洞 扫描 器 。 漏 洞 扫描 器 扫描 主机 ， 
并 与 漏洞 特征 数据 库 进 行 比 对 检查 。 现 在 已 知 漏洞 有 数 千 个 ， 因 此 期 待 渗透 测试 人 员 跟 踪 
所 有 漏洞 是 件 不 现实 的 任务 。 漏 洞 扫描 器 通过 扫描 目标 主机 并 与 一 些 漏洞 特征 比较 ， 协 助 
进行 漏洞 测试 ， 可 将 漏洞 扫描 器 看 成 一 种 自动 化 的 渗透 工具 。 这 些 漏洞 数据 库 从 一 些 漏洞 
网 站 上 定期 更 新 ， 漏 洞 扫 描 器 的 好 坏 取决 于 漏洞 数据 库 的 好 坏 ， 因 此 必须 定期 更 新 漏洞 数 
据 库 。 此 外 ， 漏 洞 扫 描 器 的 扫描 结果 仅 反 映 测试 时 系统 的 漏洞 情况 。 如 果 系 统 中 存在 某 个 
漏洞 ， 而 这 个 漏洞 又 没有 登记 在 漏洞 数据 库 中 ， 扫 描 器 就 不 会 检测 到 这 个 漏洞 的 存在 。 渗 
透 测 试 对 于 系统 安全 很 有 帮助 ， 但 也 仅 反映 进行 测试 时 系统 的 状况 及 人 们 对 各 种 风险 的 认 
识 程 度 。 

另 一 个 重要 因素 是 漏洞 扫描 器 的 成 本 及 它 的 攻击 性 。 有 些 扫描 器 在 General Public 
License(GPL， 通 用 公共 许可 证 ) 约 束 下 免费 使 用 ， 另 一 些 扫描 器 则 在 每 次 使 用 时 需要 支付 数 
干 美金 (基于 他 地 址 的 软件 授权 )。 攻 击 性 水 平 直接 反映 了 扫描 过 程 中 对 生产 主机 造成 的 冲击 
的 程度 。 某 些 扫 描 器 能 够 对 目标 发 起 拒绝 服务 攻击 ， 如 果 攻 击 成 功 ， 这 样 的 攻击 对 生产 网 络 
环境 将 造成 严重 损害 ， 因 此 ， 只 能 在 得 到 书面 授权 时 才 可 以 采取 这 样 的 行动 。 无 论 什么 时 候 ， 
首先 要 在 一 个 封闭 的 实验 室 环境 中 测试 漏洞 扫描 器 的 攻击 性 水 平 ， 如 果 没 有 得 到 拒绝 服务 攻 
击 的 授权 ， 人 们 当然 不 希望 发 起 能 导致 拒绝 服务 后 果 的 攻击 。 


5.9.1 UNIX 权限 和 根 访 问 


互联 网 上 运行 的 一 些 大 型 服务 器 都 使 用 了 UNIX 系统 。UNIX 有 两 种 类 型 的 用 户 账户 : 

普通 用 户 和 超级 用 户 。 用 户 又 被 进一步 划分 为 组 ， 在 分 配 权限 时 提供 了 额外 的 灵活 性 。 在 
UNIX 架构 中 ， 所 有 东西 都 是 文件 ， 比 如 目录 、 设 备 等 ， 并 将 文件 分 配 三 种 类 型 的 权限 : 读 
(Read)， 写 (Write) 和 执行 (Execute)。 权 限 划 分 为 三 个 部 分 进行 分 配 ， 分 配给 超级 用 户 或 root 
上 户 的 权限 ， 分 配给 用 户 组 的 权限 以 及 分 配给 普通 用 户 的 权限 。 

作为 一 名 渗透 测试 者 ， 目 标 是 获取 root 访问 权限 ， 原 因 在 于 root 用 户 拥有 系统 的 最 高 权 
限 ， 几 乎 可 以 做 它 想 做 的 一 切 事情 。 为 获取 root 访问 权限 ， 需 要 运用 权限 提升 技术 将 普通 用 
户 提升 为 root 用 户 。 常 用 的 权限 提升 技术 主要 包括 : 栈 溢出 漏洞 利用 ，mpc.statd 漏洞 利用 和 
1rix-login.c。 


在 得 到 系统 授权 之 后 就 要 隐藏 文件 ， 以 防 被 其 他 人 检测 到 。 实 现 这 个 任务 的 常用 方法 是 
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使 用 rootkit, 其 中 在 UNIX 和 Linux 系统 中 最 常用 的 两 个 rootkit 为 Linux RootkitIV 和 Beastkit 
70。 


5.9.2 ”Windows 安全 模型 和 漏洞 利用 


Microsoft Windows 使 用 了 两 种 安全 模型 : 域 模型 和 活动 目录 域 模型 。NT4.0 及 以 前 的 
Windows 版 本 中 使 用 了 域 模型 。 它 由 一 个 主 域 控制 器 和 一 个 或 多 个 备份 域 控制 器 组 成 。 在 
主 域 控制 器 失效 时 ， 可 将 备份 域 控制 器 提升 为 主 域 控制 器 。 主 域 控制 器 在 其 安全 账户 管理 
器 (SAM，Security Accounts Manager) 数 据 库 中 存储 和 维护 了 整个 域 的 所 有 账户 。 一 个 企业 
中 可 以 有 多 个 域 , 通过 信任 关系 建立 它们 之 间 的 联系 。 活动 目录 (AD) 模 型 在 Windows 2000 
和 2003 中 使 用 。 这 个 模型 是 一 种 分 层 结构 ， 网 络 资源 放置 在 一 个 Jet 数据 库 中 ， 目 的 是 便 
于 维护 。 在 活动 目录 模型 中 ， 可 以 建立 多 个 域 控制 器 ， 所 有 用 户 账户 在 域 控 制 器 之 间 复 制 。 
通过 使 用 森林 、 树 和 组 织 单元 来 实现 分 层 ， 组 织 单元 中 保存 对 象 ， 如 打印 机 和 用 户 账户 等 。 

无 论 采 用 哪 种 模型 ， 底 层 内 核 在 所 有 Windows 服务 器 平台 上 都 是 类 似 的 。 然 而 ， 随 着 每 
一 个 Windows 新 版 本 的 发 行 ， 微 软 都 强化 了 它 的 服务 器 的 安全 性 ， 使 得 恶意 黑客 对 系统 的 攻 
击 更 困难 。 下 面 介 绍 Windows 系统 攻击 的 两 种 技术 。 

与 Linux 类 似 ， 如 果 没 有 系统 管理 员 的 访问 权限 ， 那 么 很 多 针对 Microsoft Windows 的 
攻击 就 不 能 发 挥 作用 。 要 获得 管理 员 访问 权限 ， 需 要 利用 权限 提升 技术 ， 将 访问 权限 从 普通 
用 户 提升 到 具备 管理 员 权 限 的 用 户 。 权 限 提升 的 方法 主要 有 两 种 ， PipeUpAdmin 和 HK。 

Windows 平台 中 最 流行 的 rootkit 是 NT Rootkit。 NT Rootkit 由 两 个 文件 组 成 : deploy.exe 
和 root .sys， 需 要 把 这 两 个 文件 复制 到 目标 系统 上 ， 并 运行 deploy.exe， 这 样 将 安装 新 的 服 
务 root 。 与 前 面 介绍 的 Linux 下 的 rootkit 不 同 , NT Rootkit 没有 包括 很 多 的 工具 或 替换 系统 
文件 。 取 而 代 之 的 是 ，NT Rootkit 让 测试 人 员 选 择 要 隐藏 哪些 文件 ， 这 些 文件 可 以 是 木马 ， 
也 可 以 是 后 门 。 


5.9.3 ”检测 服务 器 攻击 与 预防 服务 器 攻击 


检测 服务 器 攻击 是 一 项 无 休止 的 任务 。 服 务 器 或 其 他 计算 机 可 能 受到 各 种 形式 的 攻击 ， 因 
此 , 实现 一 种 单一 的 检测 方法 来 完成 所 有 检测 任务 是 一 个 不 切合 实际 的 想法 。 比 如 ， 如 果 安 装 了 
防火 墙 来 防止 外 部 的 网 络 攻击 , 但 服务 器 对 于 内 部 网 络 攻击 、 病 毒 、 应 用 程序 缺陷 以 及 服务 器 窃 
贼 依然 数 开 大 门 。 因 此 ， 网 络 管理 员 应 该 在 所 有 可 能 造成 影响 的 地 方 实施 检 测 和 预防 方法 。 

从 头 开 始 预 防 服务 器 攻击 是 一 件 困难 的 工作 ， 原 因 在 于 不 仅 操 作 系 统 需 要 安全 保护 ， 而 
且 运 行 在 操作 系统 之 上 的 应 用 程序 及 服务 器 使 用 的 网 络 也 都 需要 进行 安全 保护 。 保 护 服务 器 
的 操作 系统 、 应 用 程序 及 网 络 的 安全 是 一 个 漫长 的 试验 和 排 错 过 程 ， 但 是 ， 制 定 一 些 合理 的 
指导 原则 可 以 帮助 网 络 管理 员 更 轻松 地 完成 这 项 工作 。 


5.10 “理解 和 应 用 缓冲 区 溢出 


首先 ， 通 过 一 个 比喻 来 解释 缓冲 区 溢出 。 假 设 有 一 个 小 公共 汽车 ， 它 有 一 个 司机 ， 可 以 
载 4 名 乘客 ， 司 机 负责 控制 小 公共 汽车 的 方向 ， 负 责 沿 途上 下 乘客 。 计 算 机 中 的 缓冲 区 的 工 
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作 方 式 与 小 公共 汽车 相似 ， 它 有 一 个 指针 ， 其 作用 就 像 司 机 一 样 ， 控 制 着 缓冲 区 未 端 进 行 操 
作 。 现 在 ， 假 设 一 下 子 上 来 了 5 个 乘客 ， 但 小 公共 汽车 只 能 容纳 下 4 个 乘客 和 一 个 司机 。 如 
果 这 5 个 新 的 乘客 上 车 取代 现 有 乘客 的 话 ， 那 么 乘客 的 4 个 座位 及 司机 的 一 个 座位 都 被 新 的 
乘客 所 占领 。 这 样 就 有 了 一 个 新 的 司机 ， 小 公共 汽车 处 于 新 司机 的 控制 之 下 。 这 也 正 是 缓冲 
区 溢出 利用 所 发 生 的 事情 : 缓冲 区 被 填充 了 更 多 信息 ， 指 针 被 奉 换 为 新 指针 ， 新 指针 指向 了 
恶意 黑客 选 定 要 执行 的 代码 。 

一 般 情 况 下 ， 缓 冲 区 溢出 的 主要 原因 在 于 程序 缺少 边界 检查 。 


5.10.1 缓冲 区 溢出 的 概念 


现代 计算 中 使 用 了 两 种 常用 的 缓冲 区 : 栈 和 堆 。 这 两 种 缓冲 区 都 能 够 用 于 缓冲 区 溢出 ， 
但 在 栈 上 应 用 缓冲 区 溢出 更 常见 。 

栈 是 运行 时 动态 分 配 、 用 于 存储 变量 的 一 片 连续 的 内 存 。 栈 随 着 数据 的 添加 和 删除 而 增 
长 或 收缩 ， 它 采用 了 后 进 先 出 的 策略 。 向 栈 中 添加 数据 时 ， 称 为 压 栈 ， 将 数据 放置 在 栈 项 
从 栈 中 删除 数据 时 ， 称 为 弹 栈 ， 从 栈 顶 中 删除 数据 。 栈 项 的 位 置 使 用 扩展 堆栈 指针 寄存 器 记 
录 ， 在 添加 数据 时 ， 栈 项 的 地 址 变 小 。 比 如 ， 在 数据 添加 到 栈 中 之 前 ， 栈 项 地 址 为 0x8， 那 
么 向 栈 中 压 入 一 个 32 位 值 后 ， 栈 顶 地 址 标 为 0x#4。 因 此 ， 压 栈 时 ， 处 理 器 减少 扩展 堆栈 指针 
寄存 器 的 值 ， 让 栈 顶 移 到 位 置 更 低 的 内 存 地 址 上 。 

有 些 应 用 程序 需要 能 提供 比 栈 空间 更 大 的 缓冲 区 ， 解 决 这 个 问题 的 途径 是 堆 (Heap)。 当 
需要 较 大 的 缓冲 区 或 不 知道 包含 在 缓冲 区 中 对 象 的 大 小 时 ， 就 要 使 用 堆 。 挫 溢出 的 工作 方式 
几乎 与 栈 溢出 的 工作 方式 相同 。 与 栈 的 不 同 之 处 在 于 ， 堆 没有 压 栈 和 入 栈 操作 ， 而 是 分 配 和 
回收 内 存 .C 语言 中 使 用 malloc0 和 free0O 函 数 实现 内 存 的 动态 分 配 和 回收 ,C++ 语言 使 用 newO 
和 delete0) 函 数 来 实现 相同 的 功能 。 

一 般 来 说 ， 确 定 返回 指针 的 准确 内 存 地 址 对 于 程序 员 来 说 相当 困难 。 为 帮助 发 现 这 一 地 
址 , 程序 员 就 在 自己 的 代码 中 放 入 了 无 操作 指令 QNOP)。NOP 指令 让 程序 移动 到 下 一 行 执行 ， 
而 最 常用 的 NOP 指令 是 0x90。 通 过 把 一 串 NOP 指令 连续 放置 ,可 扩展 利用 代码 的 长 度 , 但 
它们 并 不 执行 任何 具体 操作 。 


5.10.2 ”防止 缓冲 区 溢出 


防止 缓冲 区 溢出 的 责任 由 开发 程序 的 程序 员 承 担 。 这 些 程序 员 应 该 选用 那些 没有 漏洞 的 
编程 语言 ， 如 Java、Python 或 Perl 等 。 然 而 ， 许 多 程序 、 甚 至 操作 系统 都 使 用 C 语言 编写 ， 
并 且 很 多 程序 编写 的 C 或 C++ 函数 在 操作 数据 的 时 候 都 没有 进行 边界 检查 。 例 如 , 使 用 strcpy0 
可 将 超过 目标 能 够 容纳 量 的 数据 复制 到 目标 中 ， 这 样 就 导致 了 缓冲 区 溢出 。 因 此 ， 防 止 缓冲 
区 溢出 的 基本 步骤 之 一 是 在 自己 编写 的 代码 中 不 使 用 srcpy0 函 数 ， 而 使 用 如 stmcpy0 这 样 的 
函数 ， 因 为 这 个 函数 限制 了 要 复制 数据 的 长 度 。 

现在 ， 人 们 已 经 开发 了 一 些 能 够 跟踪 栈 指针 并 防止 栈 溢出 的 工具 。 比 如 ， 贝 尔 实验 室 开 
发 的 libsafe 就 是 不 错 的 一 个 , 它 能 将 危险 函数 替换 为 libc 库 中 安全 版 本 的 函数 。 更 重要 的 是 ， 
Libsafe 的 源码 可 在 完全 开放 源码 的 LGPL 许可 证 下 获得 。 

一 些 函 数 能 引起 缓冲 区 溢出 ， 但 它们 在 一 些 程序 中 依然 被 采用 。 基 于 编译 器 的 防止 缓冲 
区 溢出 方案 是 在 编译 程序 时 添加 一 些 辅助 代码 ， 通 过 更 改 程序 实现 防止 缓冲 区 溢出 攻击 的 目 
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的 。 在 实现 方法 上 有 几 种 不 同 的 选择 : 一 种 方法 是 对 每 一 个 返回 指针 加 上 一 段 边界 检查 代码 ， 
这 种 方法 将 造成 可 执行 程序 长 度 放大 一 倍 的 后 果 ; 另 一 种 方法 是 程序 StackGuard 采 取 的 方法 : 
在 返回 地 址 的 后 面 插入 一 个 额外 的 字 ， 称 为 密探 ， 并 在 函数 返回 时 检查 这 个 密探 字 。 如 果 它 
的 值 被 修改 ， 就 发 生 了 栈 溢出 ， 此 时 ，StackGuard 将 这 个 事件 记录 到 syslog 服务 器 上 ， 并 终 
止 程序 运行 。 

让 栈 中 的 数据 不 可 执行 是 防止 缓冲 区 溢出 攻击 的 另 一 种 方法 。 比 如 ，Solar Designer 为 
Linux 发 布 了 一 个 补丁 ， 它 能 防止 代码 在 栈 中 执行 ， 这 种 方法 极 大 地 提高 了 防止 栈 溢出 攻击 
的 能 力 。 但 是 ， 这 种 方法 也 存在 一 些 缺陷 ， 一 些 需 要 在 栈 中 执行 命令 的 合法 程序 将 不 能 再 ] 
常 工作 。 如 果 没 有 源 代码 ， 防 止 缓冲 区 溢出 是 件 十 分 困难 的 工作 ， 即 使 有 了 源 代码 ， 也 不 可 
能 重 写 整个 程序 ， 当 然 更 不 可 能 完全 避免 缓冲 区 溢出 问题 。 能 够 做 的 工作 是 ， 教 育 程序 员 编 
写 更 安全 的 程序 ， 并 以 最 快 的 速度 安装 现 有 应 用 程序 的 最 新 补丁 。 


5.11 ”拒绝 服务 攻击 


mm 


如 果 曾 遭遇 过 系统 崩溃 ， 那 么 就 会 深切 地 体会 到 数据 丢失 和 系统 不 能 工作 的 痛苦 了 ， 这 
也 正 是 拒绝 服务 攻击 (DoS，Denial-of-Service) 的 目标 。 拒 绝 服 务 攻 击 是 恶意 黑客 通过 某 种 手 
段 使 系统 不 能 正常 使 用 的 一 种 攻击 ， 当 黑客 不 能 够 使 用 其 他 手段 访问 数据 ， 抑 或 是 仅仅 为 了 
出 名 、 造 成 影响 时 ， 就 有 可 能 发 起 DoS 攻击 。 

DoS 攻击 可 以 划分 为 三 种 类 型 : 带宽 攻击 ， 协 议 攻击 ， 轴 辑 攻击 。 

带宽 攻击 是 最 古老 、 最 常见 的 DoS 攻击 。 在 这 种 攻击 中 ， 恶意 黑客 使 用 数据 流量 填 满 网 
络 ， 脆 弱 的 系统 或 网 络 由 于 不 能 处 理发 送 给 它 的 大 量 流量 而 导致 系统 崩溃 或 响应 速度 减 慢 ， 
从 而 阻止 了 合法 用 户 的 访问 。 简 单 的 带宽 攻击 能 利用 服务 器 或 网 络 设备 吞吐 量 限制 达到 目 
的 一 一 发 送 大量 的 小 数据 包 ， 快 速 发 送 大 量 数据 包 的 攻击 通常 在 流量 达到 可 用 带宽 限制 之 前 
就 淹没 网 络 设备 。 由 于 路 由 器 、 防 火 墙 、 服 务 器 都 存在 输入 /输出 处 理 、 中 断 处 理 、CPU、 内 
存 资源 等 方面 的 约束 , 因此 读 取 包 头 进行 流量 转发 的 设备 在 处 理 大 速率 数据 包 ( 每 秒 钟 处 理 的 
数据 包 数 ) 时 面临 压力 ， 造 成 对 数据 量 不 敏感 。 现 实 中 ， 拒 绝 服务 攻击 通常 通过 大 速率 数据 包 
的 实现 ， 而 不 仅 依靠 大 量 的 数据 流量 。 

协议 攻击 是 一 种 需要 更 多 技巧 的 攻击 ， 它 正在 变 得 流行 起 来 。 恶 意 黑 客 以 目标 系统 从 来 
没有 想到 的 方式 发 送 数据 流 ， 如 攻击 者 发 送 大 量 的 SYN 数据 包 。 第 三 种 类 型 的 攻击 是 逻辑 
攻击 。 这 种 攻击 包含 了 对 组 网 技术 的 深入 理解 ， 因 此 也 是 一 种 最 高 技术 的 攻击 类 型 。 罗 辑 攻 
击 的 一 个 典型 示例 是 LAND 攻击 ， 这 里 攻击 者 发 送 具有 相同 源 中 地址 和 目的 人 地址 的 伪造 
数据 包 ， 很 多 系统 不 能 处 理 这 种 引起 混乱 的 行为 ， 从 而 导致 月 溃 。 

尽管 发 自 单 台 主 机 的 简单 DoS 攻击 通常 就 能 发 挥 作用 , 但 如 果 有 多 人 台 主机 参与 攻击 效率 
就 会 更 高 ， 这 种 攻击 方式 称 为 分 布 式 拒绝 服务 DDoS，Distributed Denial of Service) 攻 击 。 很 
多 防火 墙 和 入 侵 检测 系统 在 检测 到 活动 的 DoS 攻击 后 会 阻塞 单 台 主机 , 但 是 如 果 有 上 万 台 主 
机 参与 攻击 ， 想 要 阻塞 它们 几乎 不 可 能 ， 因 为 几乎 没有 防火 墙 能 处 理 这 样 大 的 通信 流通 。 虽 
然 委 托 单位 可 能 会 要 求 渗透 测试 人 员 对 某 台 主机 做 DoS 攻击 的 测试 , 但 极 少 会 要 求 进行 分 布 
式 DoS 攻击 测试 。 因 此 ， 本 节 将 重点 放 在 与 渗透 测试 相关 的 DoS 攻击 。 
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5.11.1 检测 DoS 攻击 


常见 的 DoS 攻击 有 : Ping of Death 攻击 , Smurf 和 Fraggle 攻击 ,LAND 攻击 和 SYN Flood 
攻击 。 这 些 攻 击 大 多 数 都 能 应 用 到 DDoS 上 。 

DoS 攻 击 的 检测 通常 比较 直观 ， 但 有 时 ， 这 些 攻击 也 难以 在 一 开始 就 发 现 。 发 生 DoS 攻 
击 的 典型 症状 包括 : 频繁 的 网 络 攻击 ， 很 高 的 CPU 利用 率 , 计算 机 无 响应 以 及 计算 机 在 不 确 
定 的 时 间 崩 溃 。Dos 攻击 旨 在 阻止 合法 用 户 访问 他 们 所 需 的 服务 ， 因 此 为 了 检测 这 种 攻击 ， 
可 使 用 防火 墙 和 网 络 异常 行为 检测 器 等 多 种 设备 和 工具 。 


5.11.2 ”防止 DoS 攻击 


预防 是 阻止 DoS 攻击 的 关键 。 如 果 攻 击 截 面 大 幅度 减少 ， 将 显著 降低 受 DoS 攻击 影响 
的 可 能 。 但 是 , 阻止 所 有 的 攻击 是 不 可 能 完成 的 任务 ， 人们 能 够 做 的 就 是 加 强 系统 的 安全 性 ， 
并 希望 达到 最 好 。 为 减少 攻击 漏洞 ， 网 络 管理 员 应 该 进行 检查 的 基本 事项 如 下 : 安装 服务 包 
和 修补 包 ， 只 运行 必要 的 服务 ， 安 装 防火 墙 ， 安 装 入 侵 检测 系统 ， 安 装 反 病毒 软件 以 及 关闭 
穿越 路 由 器 和 防火 墙 的 ICMP。 

通过 安装 服务 包 ， 能 最 大 限度 地 减少 应 用 程序 和 协议 被 攻击 的 机 会 。 微 软 会 定期 发 布 修 
复 安全 漏洞 的 服务 包 和 修补 包 。 而 强化 系统 的 安全 性 则 包括 两 部 分 ， 强 化 网 络 设备 的 安全 性 
和 强化 应 用 程序 的 安全 性 。 


5.12 软件 漏洞 


5.12.1 ”设计 漏洞 与 实现 漏洞 

软件 安全 漏洞 可 分 为 两 大 类 别 :设计 漏洞 和 实现 漏洞 。 

如 果 程 序 设计 不 合理 ， 那 么 程序 将 永远 不 可 能 满足 其 需求 和 目标 。 如 果 不 遵 循 这 里 所 述 
的 经 验 ， 即 便 程 序 有 着 广 受 好 评 的 安全 设计 ， 仍 然 包含 实现 方面 的 缺陷 ， 而 这 些 最 终 将 导致 
软件 容易 受到 攻击 。 软 件 设计 要 解决 的 问题 是 ， 为 满足 软件 需求 所 需 的 任务 ， 程 序 的 各 组 件 
彼此 间 如 何 进行 交互 。 它 将 规定 系统 构架 ， 确 定 各 组 件 可 能 的 状态 ， 并 详细 说 明 各 组 件 之 间 
的 数据 流 。 软 件 设计 必须 明确 安全 模型 的 结构 ， 如 果 程 序 有 要 求 安全 机 制 的 功能 特性 ， 那 么 
必须 在 设计 中 规定 安全 机 制 如 何 运作 。 例 如 ， 在 一 个 多 用 户 程序 中 ， 其 设计 会 规定 用 户 如 何 
进行 身份 鉴别 、 如 何 授权 以 及 如 何 对 其 活动 进行 审计 。 几 乎 每 个 获取 输入 的 程序 都 需要 有 安 
全 设计 来 规定 如 何 缓解 威胁 。 设 计 漏 洞 属于 设计 错误 ， 它 使 得 编程 人 员 即 使 编写 完美 代码 也 
无 法 实现 程序 的 安全 运行 。 设 计 漏洞 常 存在 于 软件 的 安全 功能 特性 中 ， 例 如 ， 当 使 用 密码 技 
术 时 ， 却 常 在 与 安全 功能 并 不 直接 联系 的 系统 其 他 部 分 中 出 现 密码 相关 的 东西 。 安 全 的 设计 
要 求 有 经 验 并 经 过 培训 ， 而 许多 软件 工程 师 却 没有 在 安全 工程 技术 方面 得 到 适当 的 指导 。 

实现 漏洞 是 由 软件 实际 编码 中 的 安全 缺陷 造成 的 。 它 们 就 像 是 复杂 的 喷气 式 飞 机 某 部 分 
中 精密 铸件 上 的 微小 裂纹 或 瑕 症 。 无 论 这 架 飞 机 设计 得 多 么 好 ， 在 某 种 环境 条 件 下 ， 施 加 特 
定 的 压力 ， 这 种 微小 的 裂纹 将 会 导致 《机 失事 。 在 软件 中 ， 一 般 情 况 下 这 些 缺 陷 看 起 来 就 像 
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是 马虎 的 编码 行为 。 它 们 往往 看 上 去 微不足道 ， 比 如 忘记 了 字符 串 变量 是 Unicode 字符 类 型 
的 (每 个 字符 占用 两 个 字 节 ), 在 计算 缓冲 区 的 时 候 本 应 是 偏 移 量 为 2, 但 在 实际 编码 时 却 按照 
偏 移 量 为 1 错误 地 计算 缓冲 区 。 然 而 ， 这 些微 小 的 错误 如 果 恰 好 出 现在 不 当 位 置 又 恰好 被 攻 
击 者 发 现 ， 那 么 它 将 变 成 一 个 十 分 危险 的 安全 漏洞 。 优 秀 的 安全 软件 设计 人 员 会 使 用 诸如 分 
类 法 、 最 小 权限 、 攻 击 面 缩减 、 密 码 技术 等 安全 技术 ， 将 实现 缺陷 的 影响 或 严重 程度 控制 到 
最 低 限 度 。 分 类 法 就 是 使 用 高 度 的 抽象 和 健壮 的 接口 验证 ， 以 确保 模型 的 正确 使 用 。 最 小 权 
限 就 是 只 授予 用 户 或 进程 完成 其 工作 所 需 的 最 低 权 限 。 攻 击 面 缩减 是 指 只 保留 那些 完成 软件 
功能 绝对 需要 的 接口 ， 非 必需 接口 予以 取缔 。 如 果 去 除 低 优先 级 的 功能 有 可 能 减少 攻击 面 的 
话 ， 则 去 除 这 些 功 能 性 。 但 是 ， 对 于 商业 软件 来 说 ， 这 样 做 有 些 困难 ， 因 为 对 于 这 些 低 优先 
级 的 部 分 是 否 最 终 成 为 软件 的 特性 ， 市 场 的 考虑 要 胜 过 工程 的 考虑 。 密 码 技术 可 用 来 对 数据 
提供 保护 ， 这 样 即使 某 个 安全 机 制 失效 ， 由 于 无 法 解密 数据 ， 攻 击 者 也 只 能 无 功 而 返 。 优 秀 
的 安全 性 设计 会 交叉 使 用 多 种 技术 。 

如 果 软件 在 设计 时 缺少 对 安全 的 关注 ， 那 么 在 后 期 就 很 难 或 者 几乎 不 可 能 使 之 成 为 安全 
的 软件 。 另 一 方面 ， 安 全 的 设计 也 不 能 防止 或 减缓 所 有 的 实现 缺陷 。 所 以 ， 即 使 设计 堪 称 一 
份 杰 作 ， 实 现 细节 也 依然 重要 ， 必 须 坚 持 安 全 的 编码 标准 ， 实 现 的 东西 必须 经 过 测试 。 


5.12.2 ”常见 的 安全 设计 问题 


1. 密码 技术 使 用 中 的 隐患 


密码 技术 是 用 来 创建 安全 系统 的 一 种 基本 技术 。 当 双方 需要 在 像 Intemet 这 样 的 不 安全 
通道 上 进行 通信 时 ， 窃 听 就 是 一 种 威胁 ， 而 密码 技术 可 用 来 应 对 这 种 威胁 。 当 系统 需要 对 用 
户 进行 身份 鉴别 时 ， 密 码 技术 可 用 来 安全 地 存储 口令 或 令 牌 ， 当 要 求 在 像 HITP 这 样 的 无 状 
态 协议 之 上 维护 会 话 状态 时 ， 密 码 技术 能 够 安全 地 维护 会 话 。 然 而 ， 密 码 技术 是 一 种 充满 隐 
患 的 复杂 技术 。 接 下 来 将 介绍 三 种 常见 隐患。 


1) 密码 技术 选用 不 当 

一 般 情况 下 ， 应 该 使 用 经 FIPS(Federal Information Processing Standards, 美国 联邦 信息 处 
理 标准 ) 认 可 的 算法 ， 因 为 这 些 算法 经 过 了 密码 阻止 的 严格 审查 ， 而 且 包含 了 所 需要 的 各 种 类 
型 的 算法 。 对 称 密码 技术 和 公 钥 密码 技术 是 两 种 主要 的 密码 技术 。 在 对 称 密码 技术 内 有 块 密 
码 和 流 密码 ， 块 密码 要 求 选择 一 种 操作 模式 。 对 称 密码 技术 要 求 在 发 送 端 和 接收 端 均 使 用 固 
定 的 密 钥 ， 因 此 ， 对 密 钥 的 管理 就 成 了 一 个 问题 。 公 钥 密 码 技术 允许 发 送 端 和 接收 端 分 别 使 
用 自己 的 密 钥 ， 在 常见 的 SSL(Secure Sockets Layer， 安 全 套 接 层 ) 中 ， 就 一 起 使 用 了 这 种 技术 
和 对 称 加密 技 术 。 密 码 散 列 函数 和 消息 验证 编码 比较 适用 于 侦察 算 改 行为 或 进行 消息 签名 的 
安全 机 制 。 


2) 依赖 隐蔽 式 安全 

对 于 程序 员 所 以 依赖 的 安全 机 制 来 说 ， 隐 蔽 式 安全 是 很 有 吸引 力 的 。 当 且 仅 当 没有 人 付 
出 足够 的 努力 来 突破 这 种 安全 机 制 的 时 候 ， 隐 蔽 式 安全 才能 起 到 作用 。 即 使 这 种 机 制 实现 得 
确实 很 好 ， 也 只 能 在 某 段 时 间 内 安全 ， 这 段 时 间 究 竟 有 多 长 ， 这 是 攻击 者 所 控制 的 。 如 果 攻 
击 者 花 足 够 的 资源 ， 即 使 是 实现 得 最 好 的 隐蔽 式 安全 也 终 将 失效 。 
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3) 编写 到 程序 中 的 密 钥 

密码 技术 的 基本 内 在 法 则 之 一 就 是 密 钥 必须 一 直 作 为 秘密 存在 ， 否 则 整个 密码 系统 就 将 
失效 。 许 多 程序 会 有 这 样 的 需求 : 数据 必须 安全 地 存储 在 磁盘 或 数据 库 中 ， 可 能 也 有 这 样 的 
需求 : 在 服务 器 和 客户 端 之 间 ， 应 用 程序 之 间 传 递 的 数据 必须 经 加 密 后 传输 。 密 码 系统 不 容 
易 构建 ， 除 非 具 有 多 年 密码 技术 的 经 历 ， 否 则 要 想 编写 自己 的 加 密 算 法 几乎 是 不 可 能 的 ， 即 
使 使 用 现成 的 密码 技术 也 并 非 易 事 。 密 码 技术 中 最 具 挑 战 性 的 部 分 之 一 就 是 密 钥 的 管理 ， 也 
正 因为 如 此 ， 才 将 密 钥 编写 到 程序 中 。 

密 钥 管理 就 是 保存 密 钥 并 将 密 钥 来 回 传递 以 使 密码 系统 运作 的 过 程 。 程 序 员 往往 遗漏 这 
个 关键 因素 ， 或 者 没有 足够 的 时 间 来 做 好 这 件 事情 ， 所 以 他 们 将 密 钥 当做 一 个 静态 值 编写 到 
应 用 程序 中 ， 并 试图 通过 XOR( 异 或 ) 编 码 或 其 他 二 进 制 匹 配方 式 将 整个 值 进 行 干扰 处 理 ， 但 
事实 上 于 事 无 补 。 对 于 任何 拥有 源 代码 或 者 编译 后 的 二 进 制 文件 的 人 来 说 ， 这 样 编写 到 程序 
中 的 密 钥 都 是 可 用 的 。 经 过 少量 的 反 向 工程 ， 攻 击 者 就 可 解密 那些 存储 在 应 用 程序 中 的 数据 
或 从 网 络 中 觉察 到 的 加 密 数据 。 一 条 适用 的 经 验 法 则 是 : 如 果 把 密 钥 编写 到 应 用 程序 中 ， 就 
需要 将 整个 应 用 程序 当 作 秘密 来 对 待 。 但 对 面向 大 量 用 户 分 布 部 署 的 应 用 程序 来 说 ， 这 显然 
是 不 可 行 的 ， 因 为 如 果 这 样 的 话 ， 用 户 就 将 知道 其 他 用 户 的 密 钥 ， 这 正 是 人 们 说 数字 版 权 管 
理 (DRM，Digital Rights Management) 从 根本 上 存在 缺陷 的 原因 。 


4) 错误 地 处 理 私密 信息 

私密 信息 是 指 除了 向 授权 访问 的 用 户 开放 外 ， 应 用 程序 不 应 该 公开 的 那些 数据 。 诸 如 登 
录 密 码 、 登 录 密 码 散 列 、 密 钥 以 及 会 话 标识 符 之 类 的 秘密 信息 是 非 公开 数据 中 最 关键 的 信息 ， 
因为 这 些 数据 的 暴露 通常 会 破坏 系统 的 安全 性 。 另 外 一 些 私密 数据 ， 比 如 账户 名 称 、 信 用 卡 
号 以 及 账户 的 收 支 情况 等 ， 这 些 通常 都 是 非常 重要 而 且 需 要 保持 其 私密 性 的 数据 。 系 统 设计 
人 员 应 该 对 系统 的 数据 资产 价值 进行 评审 ， 这 样 除 了 上 述 信息 之 外 的 其 他 有 价值 的 信息 也 就 
不 会 被 公开 了 。 

对 私密 信息 的 恰当 处 理 就 是 不 要 把 这 些 信息 随 意 地 写 到 临时 文件 、 日 志文 件 或 者 交换 磁 
盘 空间 中 。 保 存 过 私密 数据 的 缓冲 区 应 该 控 除 ， 这 样 如 果 系 统 为 其 他 用 户 会 话 而 重用 内 存 ， 
后 来 的 用 户 就 不 会 看 到 之 前 他 人 的 私密 信息 。 如 果 数 据 是 写 入 一 个 文件 或 数据 库 中 ， 那 么 应 
该 对 数据 进行 加 密 ， 这 样 即使 系统 安全 性 遭 到 破坏 ， 攻 击 者 也 不 会 得 到 明文 的 私密 信息 。 


2. 对 用 户 及 其 许可 权限 进行 跟踪 


许多 联网 的 应 用 程序 都 需要 跟踪 以 确定 哪个 用 户 与 某 个 事务 相关 联 ， 以 便 在 该 事务 完成 
之 前 ， 应 用 程序 能 够 执行 一 个 授权 步骤 。 如 果 这 个 用 户 未 获得 该 事务 或 该 事务 所 操作 数据 的 
授权 ， 那 么 应 用 程序 必须 犯 一 个 错误 。 


1) 会 话 管理 薄弱 或 缺失 

为 用 户 创建 会 话 后 ， 必 须 对 其 进行 管理 。 典 型 的 情况 是 Web 应 用 程序 通过 为 会 话 分 配 
一 个 不 可 猜测 且 不 可 预知 的 会 话 标识 符 并 将 其 存储 在 Cookie 中 ， 从 而 进行 会 话 的 管理 。 在 会 
话 管理 中 ， 应 使 用 密码 散 列 ， 如 果 会 话 标识 符 使 用 简单 的 增 量 数字 或 者 时 间 戳 的 话 ， 攻 击 者 
就 会 猜 出 有 效 的 会 话 标识 符 ， 并 使 用 其 他 用 户 已 经 认证 的 会 话 。 此 外 ， 会 话 标识 符 在 网 络 上 
的 传输 必须 使 用 某 种 加 密 手 段 ， 如 SSL。 这 是 因为 ， 如 果 攻 击 者 能 嗅 控 网络， 或 能 有 效 实施 
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代理 攻击 的 话 ， 这 个 攻击 者 就 可 以 访问 到 其 他 用 户 的 会 话 标 识 符 。 最 后 ， 应 用 程序 还 必须 不 
存在 跨 站 点 执行 脚本 漏洞 ， 因 为 这 种 漏洞 可 用 来 窃取 用 户 的 Cookie。 

2) 身份 鉴别 薄弱 或 缺失 
于 授权 依赖 于 身份 鉴别 ， 故 身份 鉴别 本 身 必 须 是 安全 的 。 用 户 发 送 到 系统 的 密码 必须 
通过 像 SSL 这 样 的 安全 连接 来 传送 ， 这 样 密码 就 不 会 被 中 途 截取 。 身 份 鉴别 步骤 不 应 存在 被 
绕 过 的 可 能 性 ， 在 系统 开始 慢 下 来 之 前 ， 密 码 的 质量 必须 强制 满足 不 允许 攻击 者 尝试 密码 的 
次 数 超过 三 次 ， 这 样 就 可 以 防止 暴力 攻击 。 

3) 授权 薄弱 或 缺失 

对 于 大 多 数 应 用 程序 来 说 ， 正 确 地 实现 授权 并 非 易 事 。 应 用 程序 中 不 能 存在 让 攻击 者 绕 
过 授权 步骤 并 通过 系统 执行 未 获得 授权 的 事务 的 可 能 性 。 


3. 有 缺陷 的 输入 验证 


缺少 输入 验证 或 输入 验证 存在 缺陷 ， 是 造成 许多 极 严重 漏洞 的 头号 诱因 。 这 些 漏洞 包括 
缓冲 区 溢出 、SQL 注入 以 及 跨 站 点 执行 脚本 。 输 入 验证 非常 关键 ， 必 须 对 其 缺陷 加 以 纠正 ， 
应 该 花 时 间 对 输入 验证 例 程 进行 审查 ， 并 针对 其 正确 性 进行 测试 。 


1) 没有 在 安全 的 上 下 文 环境 中 执行 验证 

许多 客户 端 /服务 器 应 用 程序 都 在 客户 端 执行 输入 验证 ， 以 提高 性 能 。 如 果 用 户 输入 了 错 
误 数据 ， 客 户 端 验证 就 可 以 较 快 地 对 数据 进行 验证 ， 而 不 需要 将 数据 通过 网 络 发 送 给 服务 器 
来 完成 验证 工作 ， 这 是 在 客户 端 进行 验证 的 好 理由 。 但 是 ， 如 果 仅 在 客户 端 进行 验证 的 话 ， 
那么 攻击 者 通过 禁用 客户 端 验 证 所 在 的 代码 部 分 (如 JavaScripb， 就 可 以 很 容易 地 绕 过 这 个 验 
证 步 又。 他 使 用 一 个 自 定义 Web 客户 端 或 者 使 用 Web 代理 服务 器 ， 就 可 以 操纵 客户 端的 数 
据 而 无 须 进 行 客户 端 验证 。 


2) 验证 例 程 不 集中 

验证 例 程 不 容易 写 ， 程 序 内 位 于 各 层次 上 的 许多 例 程 会 带 来 复杂 性 ， 难 以 进行 正确 性 审 
查 。 输 入 验证 应 该 尽 可 能 地 在 靠近 用 户 输入 的 位 置 执行 ， 并 且 要 集中 ， 这 样 就 可 以 确保 所 有 
数据 都 会 经 过 验证 例 程 ， 并 能 确保 输入 验证 本 身 的 正确 性 。 应 该 注意 的 是 ， 有 时 简单 地 将 相 
互 关 联 的 例 程 进行 集中 ， 会 形成 过 于 简化 的 验证 例 程 ， 最 终 变 得 验证 不 充分 。 当 通过 一 个 验 
证 器 例 程 集中 对 外 部 数据 流 进行 验证 时 ， 必 须 主要 保持 严格 的 验证 。 


3) 不 安全 的 组 件 边界 

现在 的 许多 软件 都 是 用 多 个 组 件 来 构建 ， 图 表 控 件 就 是 一 个 组 件 的 例子 ， 该 控件 作为 一 
个 数据 库 对 象 ， 用 作 和 数据 库 服务 器 连接 的 接口 。 这 些 都 是 现成 的 对 象 ， 一 般 由 组 件 或 数据 
库 厂 商 提供 。 开 发 人 员 往 往 会 将 代码 拆 分 为 多 个 组 件 ， 这 样 就 可 以 在 其 他 软件 项 目 中 重用 ， 
或 者 通过 这 种 组 件 化 的 方法 简化 其 程序 内 部 的 通信 。 例 如 ， 一 个 应 用 服务 器 可 以 有 一 个 配置 
组 件 ， 管 理 员 可 以 使 用 它 通过 独立 于 应 用 服务 的 另 一 个 进程 对 应 用 服务 器 软件 进行 配置 ， 这 
个 组 件 可 以 通过 注入 命名 管道 等 进程 间 通 信和 方式 来 与 应 用 服务 器 引擎 进行 通信 。 

组 件 边界 是 指 程序 的 位 置 点 ， 各 组 件 在 这 些 位 置 上 进行 通信 。 典 型 情况 下 ， 组 件 间 的 通 
信和 是 通过 TCP/IP 套 接 字 、 命 名 管道 、 文 件 、 共 享 内 存 或 者 通过 远程 过 程 调 用 来 完成 。 如 果 不 
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对 这 种 通信 通道 进行 身份 鉴别 ， 所 有 的 组 件 间 交 换 的 数据 就 是 潜在 的 敌意 数据 ， 这 是 因为 通 
信 通 道 很 可 能 存在 注入 敌意 数据 的 可 能 。 许 多 组 件 接口 都 假定 组 件 间 通 信 的 数据 经 过 了 验证 ， 
联系 这 一 实际 情况 ， 这 就 使 得 组 件 边界 漏洞 随时 可 能 发 生 。 因 此 ， 对 数据 的 验证 应 该 在 每 一 
个 组 件 边界 上 都 执行 ， 这 通常 称 为 “防御 性 编程 ”。 组 件 边界 越 多 ， 意 味 着 必须 正确 验证 的 
输入 点 越 多 ， 同 时 也 意味 着 程序 员 出 错 的 几率 也 越 高 。 

4. 薄弱 的 结构 性 安全 


攻击 面 就 是 攻击 者 可 能 与 之 进行 交互 的 应 用 程序 边界 。 对 于 大 多 数 应 用 程序 来 说 ， 这 会 
是 应 用 程序 所 具有 的 网 络 接 口 ， 不 过 ， 攻 击 面 也 有 可 能 是 文件 系统 、 注 册 表 或 进程 通信 。 应 
用 程序 与 外 部 通信 的 方式 越 多 ， 其 攻击 面 就 越 大 。 一 个 在 两 个 端口 上 对 网 络 进行 监听 的 程序 
通常 就 不 如 在 一 个 端口 上 监听 的 应 用 程序 安全 。 

当然 ， 攻 击 面 的 大 小 不 仅 是 数量 问题 ， 还 与 攻击 面 如 何 实现 有 关 。 对 于 一 个 程序 来 说 ， 
如 果 在 执行 安全 性 功能 (如 身份 鉴别 、 授 权 或 输入 验证 ) 之 前 执行 的 数据 输入 处 理工 作 越 多 ， 
那么 其 攻击 面 就 越 大 。 在 执行 上 述 安全 性 功能 之 前 ， 对 数据 进行 大 量 的 解析 或 进行 计算 ， 就 
意味 着 会 有 更 多 代码 ， 就 会 存在 更 多 攻击 者 可 访问 的 漏洞 的 可 能 性 。 

当 一 个 漏洞 被 利用 时 ， 攻 击 者 无 论 是 执行 任意 代码 或 者 是 操作 该 系统 的 文件 系统 ， 其 动 
作 都 是 以 那个 存在 漏洞 的 运行 进程 所 具有 的 权限 来 执行 的 。 这 就 是 攻击 者 力求 找 出 那些 运行 
于 高 权限 级 别 的 软件 (UNIX 系统 上 以 root 级 别 运 行 ， 而 Windows 系统 上 以 administrator 或 
SYSTEM 权限 级 别 运行 ) 的 漏洞 ， 并 对 其 加 以 利用 的 原因 。 以 尽 可 能 小 的 权限 级 别 运 行 来 达 
到 软件 所 需 ， 这 样 即使 出 现 漏洞 并 被 利用 ， 也 可 以 限制 其 带 来 破坏 的 影响 。 

安全 设计 的 基本 内 在 法 则 之 一 就 是 不 要 依赖 一 种 机 制 来 实现 安全 性 ， 因 为 那 种 机 制 可 能 
会 失效 ， 应 该 并 用 多 种 相互 独立 的 安全 机 制 。 银 行 的 物理 安全 是 实现 生活 中 纵深 防御 的 一 个 
例子 : 金库 不 把 门 开 在 大 街 上 ， 银 行 有 一 个 带 锁 的 前 门 ， 一 个 带 锁 的 室内 门 ， 而 后 才 是 最 后 
的 金库 大 门 。 每 一 层 门 上 都 安装 了 安全 摄像 机 和 警报 器 ， 在 两 门 之 间 ， 房 间 内 可 能 还 会 有 移 
动物 体 传感器 。 这 些 安全 机 制 的 任何 一 种 都 可 能 失效 ， 但 整个 安全 系统 仍然 可 以 用 来 降低 银 
行 遭 抢 动 的 风险 。 

当 为 应 用 程序 设计 降低 安全 威胁 的 措施 时 ， 设 计 人 员 应 该 使 用 多 种 机 制 与 安全 威胁 抗 
衡 。 对 于 SQL 注入 威胁 设计 人 员 应 该 使 用 输入 过 滤 来 确保 数据 (可 能 最 终 会 作为 SQL 查询 
的 一 部 分 ) 格 式 良好 。 此 外 ， 还 应 该 使 用 存储 的 预先 准备 的 语句 ， 这 些 语 句 汇集 了 所 有 查询 的 
变量 。 应 该 对 敏感 数据 进行 加 密 ， 这样 即 使 攻击 者 获得 了 数据 访问 权 , 他 也 需要 正确 的 密 钥 。 
事务 处 理应 该 在 日 志 中 记录 卫 地 址 ， 另 外 ， 如 果 可 能 的 话 ， 还 应 该 记录 与 之 关联 的 用 户 名 。 
引入 到 软件 中 的 每 种 威胁 缓解 措施 都 有 其 局 限 性 ， 还 有 可 能 存在 缺陷 。 但 如 果 使 用 了 纵深 防 
御 ,， 软件 即使 面临 着 某 项 威胁 缓解 措施 的 失效 ， 也 仍 将 是 安全 的 。 除 非 攻击 者 窃 得 身份 凭证 ， 
否则 他 很 可 能 会 企图 让 应 用 程序 去 做 那些 设计 中 原本 不 打算 做 的 事情 。 这 种 非 预期 的 功能 主 
要 来 源 就 是 错误 处 理 代码 ， 这 些 代码 往往 在 设计 和 测试 方面 有 所 不 足 。 作 为 一 个 安全 测试 人 
员 ， 应 该 重视 错误 处 理 代码 ， 因 为 程序 的 大 部 分 输入 都 将 试图 使 得 程序 不 去 执行 其 预定 的 功 
能 。 如 果 程序 不 能 做 到 对 任何 输入 都 统统 非常 得 体 地 应 对 ， 那 么 攻击 者 就 会 利用 错误 处 理 程 
序 例 程 中 的 非 预 期 功能 来 改变 程序 的 执行 。 

另 一 个 错误 处 理 问 题 就 是 ， 如 何 报告 错误 情况 而 不 会 暴露 为 攻击 活动 提供 指引 的 系统 相 
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关 信息 。 错 误 消息 中 往往 包含 堆栈 跟踪 信息 、 目 录 信 息 以 及 软件 所 连接 的 软件 组 件 或 服务 的 
版 本 信息 等 。 软 件 应 将 错误 细节 记录 到 管理 员 可 以 读 取 的 日 志文 件 中 ， 并 只 是 简单 地 告诉 用 
户 发 生 了 一 个 错误 。 


5. 其 他 设计 缺陷 


多 层 应 用 程序 往往 会 在 一 个 进程 之 间 传 送 命令 或 其 他 解释 性 代码 。 如 果 攻 击 者 能 够 找 出 
修改 这 类 代码 的 途径 ， 那 么 他 就 会 找到 办 法 来 修改 应 用 程序 的 执行 。Web 应 用 服务 器 是 一 个 
常见 的 例子 ， 它 会 向 Web 客户 端 发 送 JavaScript 代码 来 执行 客户 端 呈 现 或 者 客户 端 验 证 ， 另 
一 个 例子 是 向 数据 库 服务 器 发 送 SQL 查询 的 应 用 服务 器 。 

应 用 程序 在 设计 时 应 该 将 用 户 提 供 的 数据 和 程序 自己 执行 或 传 给 其 他 系统 执行 的 代码 
进行 隔离 。 代 码 是 静态 时 ， 要 实现 上 述 目 标 十 分 简单 ， 但 这 些 代码 往往 是 使 用 用 户 数据 来 生 
成 的 ， 如 果 是 这 种 情况 ， 就 必须 要 小 心地 将 用 户 数 据 加 以 净化 处 理 (去 除 其 中 的 有 害 成 分 )。 
这 样 ， 就 可 以 避免 攻击 者 修改 由 用 户 数 据 生 成 的 代码 而 控制 部 分 系统 的 执行 。 

应 用 程序 中 输入 的 每 一 份 数据 都 可 能 是 潜在 的 危险 之 源 。 软 件 设计 人 员 往 往 清 楚 地 知道 
需要 对 用 户 输入 的 数据 保持 警觉 。 然 而 ， 他 们 却 经 常 忘记 应 该 对 应 用 程序 的 所 有 外 部 数据 都 
保持 警觉 。 这 也 许 源 于 一 种 旧 观 念 ， 那 就 是 人 的 输入 是 会 出 错 的 ， 所 以 必须 对 其 构建 防护 措 
施 。 而 由 其 他 进程 或 者 系统 输入 的 数据 是 由 计算 机 生成 的 ， 所 以 格式 良好 , 并且 也 是 安全 的 。 
这 种 安全 的 错觉 是 假定 不 会 有 恶意 参与 者 欺骗 外 部 系统 或 者 这 些 系 统 被 攻陷 的 情况 。 当 发 生 
这 种 情况 时 ， 从 外 部 系统 输入 到 应 用 程序 中 的 数据 就 和 用 户 输入 一 样 危 险 。 因 此 ， 必 须 将 所 
有 外 部 输入 都 当做 危险 的 ， 并 对 其 做 净化 处 理 ， 以 去 除 其 中 的 有 害 数据 。 

即使 使 用 经 过 净化 的 数据 ， 也 必须 多 加 小 心 ， 不 要 在 数据 中 赋予 任何 未 经 保证 的 信任 。 
如 果 可 能 ， 要 对 外 部 系统 进行 认证 。 对 于 那些 可 匿名 访问 的 外 部 系统 (如 域名 服务 器 )， 就 不 
能 依赖 其 数据 来 做 任何 安全 方面 的 判定 ， 即 使 这 些 数据 对 记录 日 志 很 有 用 。 但 不 应 该 让 攻击 
者 借 之 对 外 部 系统 施加 控制 以 使 得 应 用 程序 做 出 其 他 安全 判定 。 

在 一 个 多 层次 系统 中 ， 应 用 程序 跨越 多 个 服务 器 而 运行 ， 每 个 服务 器 都 应 该 对 其 他 服务 
器 进行 认证 。 而 且 如 果 可 行 的 话 ， 最 好 使 用 加 密 措施 来 阻止 假冒 和 代理 攻击 。 在 一 次 假冒 攻 
击 中 ， 攻 击 者 会 用 一 个 看 起 来 相像 的 服务 器 来 代替 原始 服务 器 ， 但 是 这 个 新 的 服务 器 却 被 攻 
击 者 控制 。 这 种 攻击 可 通过 修改 所 使 用 的 域名 系统 或 者 修改 网 络 层 来 完成 。 代 理 攻击 和 假冒 
攻击 类 似 ， 只 不 过 代理 攻击 使 用 了 一 个 代理 服务 器 ， 利 用 它 仅 对 影响 攻击 的 数据 进行 修改 。 

应 用 程序 应 该 总 是 以 安全 的 操作 模式 作为 其 默认 值 ， 不 应 要 求 使 用 的 时 候 更 改 配置 来 使 
之 安全 ， 因 为 这 种 更 改 经 常 被 遗忘 或 者 不 能 被 正确 地 执行 。 攻 击 者 就 以 这 种 不 安全 的 默认 配 
置 为 攻击 目标 ， 因 为 他 们 知道 ， 许 多 系统 都 是 以 这 种 默认 的 方式 来 部 署 的 。 

最 后 ， 审 计 日 志 是 安全 的 应 用 程序 之 基本 要 素 。 有 了 审计 日 志 ， 就 能 够 查 明 攻 击 行为 。 
5.12.3 ”编程 语言 的 实现 问题 


每 种 编程 语言 都 有 其 特质 ， 如 果 在 编写 代码 的 过 程 中 对 此 没有 理解 且 没 有 进行 相应 的 处 
理 ， 就 会 存在 缺陷 。 程 序 员 必须 避免 使 用 某 些 编程 语言 的 元 素 或 其 编程 环境 ， 以 避免 造成 实 
现 缺 陷 。 而 其 他 一 些 编程 语言 元 素 , 也 只 有 在 理解 其 安全 含义 的 用 法 时 , 才能 被 安全 地 使 用 。 
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1. 编译 型 语言 : C/C++ 


在 安全 领域 中 ， 存 在 大 量 安全 漏洞 ， 而 产生 这 些 安全 漏洞 的 原因 可 追溯 到 C/C++ 的 不 安 

全 使 用 。C 语言 是 作为 “底层 ”和 可 移植 的 语言 而 设计 得 ， 这 就 使 得 操作 系统 易于 用 C 语言 
来 编写 ， 而 现今 所 有 流行 的 OS 都 是 用 C 语言 来 编写 的 。 在 这 些 操作 系统 上 ， 其 本 地 接口 也 
是 用 C 语言 编写 的 ， 故 许多 在 这 些 系统 上 运行 的 应 用 程序 为 了 获得 较 高 的 执行 性 能 ， 也 都 使 
用 C 和 C++ 语言 来 编写 。 由 于 C 语言 在 历史 上 具有 比 任何 编程 语言 都 要 多 的 安全 相关 问题 ， 
用 C 和 C++ 语言 来 编写 应 用 程序 也 就 带 来 了 问题 。 此 外 ， 大 部 分 构成 mtemet“ 管 件 ”的 软 
件 - 一 域名 服务 器 、 邮 件 服务 器 、Web 服务 器 、 路 由 器 软件 甚至 于 防火 墙 软件 等 ， 都 是 用 C 
或 C++ 语言 编写 的 ， 所 以 说 Intemet 上 有 很 多 安全 问题 一 点 都 不 为 过 。 遗 留 软 件 是 人 们 仍 使 
CC 语言 的 另 一 个 原因 ， 这 些 软件 只 是 一 直 在 增加 一 些 新 的 功能 特性 ， 并 持续 地 重复 利用 。 

在 C/C++ 代码 中 发 现 的 一 些 常 见 安全 问题 主要 有 : 

1) C 语言 没有 安全 的 本 地 字符 串 类 型 ， 也 没有 安全 而 易 用 的 字符 串 处 理 函数 ; 

2) 缓冲 区 超 限 会 覆盖 栈 中 的 函数 返回 地 址 ; 

3) 预防 缓冲 区 溢出 ; 

4) printf 类 型 的 格式 化 函数 ; 

5) 整数 溢出 。 


2. 解释 型 语言 ，Shell 脚本 和 PHP 


通过 创建 一 个 “增强 ”环境 ， 使 得 许多 操作 可 以 在 默认 的 情况 下“ 幕后” 进行， 脚本 语 
言 (如 用 于 UNIX 的 shell 脚本 或 用 于 Web 应 用 程序 的 PHP) 使 得 程序 编写 更 加 容易 。 这 种 方 
便 性 是 通过 将 程序 员 与 操作 系统 环境 固有 的 细节 相 分 离 来 实现 的 。 通 过 这 种 隔离 方法 ， 节 省 
了 编程 时 间 ,， 也 有 助 于 使 程序 独立 于 操作 系统 。 这 种 隐 含 的 功能 会 对 安全 性 产生 影响 ,因而 ， 
要 安全 地 使 用 脚本 语言 ， 就 必须 理解 这 种 影响 。 

脚本 语言 都 是 “高 级 ”语言 。 由 于 使 用 动态 内 存 管理 为 变量 分 配 内 存 空 间 ， 程 序 员 不 需 
要 管理 内 存 分 配 、 回 收 以 及 数据 复制 (如 字符 串 复制 ) 的 底层 细节 。 其 好 处 就 是 许多 困扰 C/C++ 
的 缓冲 区 溢出 问题 都 不 存在 了 。 最 常见 的 缓冲 区 溢出 源 自 C/C++ 代码 ， 其 中 涉及 字符 串 处 理 
的 时 候 尤其 如 此 。 而 像 Perl 和 PHP 这 样 的 脚本 语言 ， 发生 缓 冲 区 溢出 的 风险 相对 较 小 ， 但 这 
也 并 不 是 说 使 用 脚本 语言 或 者 Java 的 时 候 就 不 需要 检查 输入 长 度 。 因为 这 类 语言 中 仍然 还 有 
可 能 将 字符 串 变量 传递 给 其 他 应 用 程序 ， 这 就 容易 引发 缓冲 区 溢出 。 

某 些 情况 下 ， 变 量 仅仅 是 “经 过 ”一 个 程序 。 例 如 ， 可 编写 一 段 这 样 的 Perl 脚本 ， 它 接 
受 一 个 窗 体 输入 ， 比 如 一 个 用 户 名 ， 然 后 只 简单 地 将 这 个 输入 值 交 给 另 一 个 程序 ， 而 这 个 程 
序 可 能 是 用 C++ 编写 的 或 者 是 操作 系统 自 带 的 。 上 述 的 第 二 个 程序 会 容易 产生 缓冲 区 溢出 ， 
所 以 攻击 者 仍 可 能 搞 破坏 。 只 是 这 个 问题 不 会 影响 Perl 脚本 ， 因 为 在 这 里 它 只 是 将 输入 中 转 
传递 了 一 下 。 因 此 ， 无 论 使 用 何 种 语言 或 何 种 函数 ， 永 远 要 对 输入 长 度 进行 检查 。 

3. 虚拟 机 语言 : Java 和 C# 


编译 为 字 节 码 并 需要 虚拟 机 来 运行 的 语言 ， 通 常 来 讲 比 编译 成 本 机 代码 的 语言 更 安全 一 
些 。Java 和 C# 就 是 被 设计 为 编译 成 字 节 码 的 编程 语言 的 典型 ， 这 种 编程 语言 在 设计 的 时 候 ， 
就 一 直 牢 记 C 语言 的 风险 史 。Java 和 C# 强 化 了 输入 安全 ， 这 意味 着 它们 不 能 访问 任意 的 内 
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存 位 置 。 如 果 一 个 Java 程序 试图 超过 数组 边界 来 访问 一 个 数组 ， 就 会 抛 出 一 个 异常 。 而 如 果 
程序 用 C 语言 来 做 这 个 操作 的 话 ， 就 能 对 内 存 进 行 读 、 写 操作 。 


5.12.4 ”平台 的 实现 问题 


平台 就 是 程序 在 其 中 运行 的 环境 。 操 作 系 统 是 其 主要 的 组 成 部 分 ， 但 平台 还 可 以 包括 程 
序 与 之 交互 的 一 些 常用 的 组 件 。 每 种 操作 系统 都 有 其 特质 ， 对 此 必须 理解 ， 以 免 产 生 不 必要 
的 负面 效应 而 导致 出 现 安全 漏洞 。 

程序 依赖 操作 系统 来 与 用 户 、 网 络 以 及 文件 系统 进行 输入 和 输出 的 交互 ， 还 要 依赖 操作 
系统 来 产生 新 的 子 进程 以 及 与 其 他 进程 进行 通信 。 从 安全 观点 看 ， 所 有 这 些 操作 都 是 很 有 风 
险 的 。 一 个 设计 完善 的 操作 系统 会 清除 默认 行为 ， 提 供 文档 来 说 明 安全 访问 操作 系统 的 API 
或 服务 的 方式 ， 并 且 指 导 程 序 员 编 写 安全 程序 。 遗 憾 的 是 ， 操 作 系 统 开 发 人 员 没有 想 透 或 者 
没有 提供 文档 来 说 明 许多 现代 操作 系统 的 隐 含 的 安全 问题 ， 比 如 符号 连接 、 目 录 遍 历 、 字 符 
转换 等 。 隐 含 的 安全 问题 就 留 给 了 漏洞 研究 人 员 来 发 现 。 


5.12.5 ”常见 的 应 用 程序 安全 实现 问题 


在 任何 平台 上 使 用 任何 语言 编写 程序 ， 某 些 应 用 程序 的 安全 问题 都 会 出 现 。 其 中 某 些 问 
题 是 由 应 用 程序 的 某 个 组 件 接受 的 恶意 数据 引起 的 ， 这 种 数据 在 应 用 程序 的 另 一 个 组 件 被 当 
做 了 合法 的 代码 。 另 一 些 安全 问题 是 由 于 对 涉 密 信息 的 不 当 处 理 造成 的 ， 这 些 涉 密 信息 必须 
保持 其 作为 秘密 的 特征 ， 并 且 要 用 不 可 预测 的 密码 系统 来 履行 加 密 的 使 命 。 常 见 的 应 用 程序 
安全 实现 问题 有 SQL 注入 和 跨 站 点 执行 脚本 。 


5.12.6 ”开发 过 程 中 的 问题 及 部 署 方面 的 薄弱 性 


在 开发 过 程 中 遇 到 的 问题 主要 有 : 

e 安全 需求 和 前 提 条 件 的 文档 记录 贫乏 ; 

e 交流 和 文档 的 贰 乏 ， 

e 在 开发 过 程 中 缺少 安全 过 程 。 

部 署 是 指 拿 到 软件 ， 并 将 其 在 产品 系统 上 进行 安全 和 配置 的 过 程 。 这 既 可 以 由 定制 应 用 
程序 的 企业 内 部 开 员工 来 完成 , 也 可 以 由 使 用 打包 的 软件 产品 的 最 终 消费 者 来 完成 。 在 这 两 
种 情况 下， 部署 软 件 的 人 ， 都 不 属于 开发 团队 ， 他 们 需要 通过 文档 或 者 安全 和 配置 程序 的 指 
导 来 安装 软件 。 

开发 人 员 在 开发 过 程 中 会 设想 软件 怎样 去 部 署 。 他 们 往往 会 假定 软件 所 使 用 的 文件 和 注 
册 表 键 值 只 会 由 这 个 软件 修改 ， 而 文件 和 注册 表 的 访问 控制 机 制 需要 恰当 地 进行 设置 ， 以 保 
护 配 置 文 件 和 注册 表 不 会 被 算 改 。 当 出 现 文件 和 注册 表 键 值 设置 为 完全 可 写 ， 这 就 意味 着 该 
系统 上 的 所 有 用 户 都 可 以 对 其 进行 更 改 。 如 果 开 发 人 员 假 定 配置 文件 总 是 格式 良好 的 ， 原 因 
是 它 只 能 被 这 个 软件 本 身 修改 ， 那 么 开发 人 员 或 许 就 会 放弃 有 效 性 验证 的 代码 。 如 果 攻击 者 
发 现 了 这 个 许可 权限 的 薄弱 性 ， 他 就 可 以 算 改 这 个 文件 ， 企 图 由 这 个 软件 引入 错误 的 处 理 ， 
而 这 个 软件 会 假定 这 种 修改 仍然 是 格式 完好 的 数据 。 将 文件 的 许可 权限 设置 为 “前 提 条 件 在 
部 署 配置 中 都 成 立 ”， 为 确保 这 些 前 提 条 件 都 符合 ， 建 议 用 文档 记录 这 些 前 提 条 件 ， 然 后 进 
行 核查 。 


第 5 章 ”软件 安全 动态 渗透 测试 。183 。 


部 署 方面 的 另 一 个 主要 问题 就 是 将 软件 安装 为 运行 时 具有 不 必要 权限 的 情况 。 许 多 开发 
人 员 在 构建 软件 时 都 图 方便 ， 所 以 他 们 构建 的 软件 需要 以 UNIX 上 的 root 用 户 或 者 Windows 
上 的 本 地 系统 用 户 的 身份 来 运行 。 这 些 账户 都 是 系统 中 具有 最 高 权限 的 用 户 ， 因 此 如 果 这 个 
软件 有 漏洞 ， 并 且 被 发 现 利 用 的 话 ， 攻 击 者 就 能 获得 对 整个 系统 的 完全 控制 权 ， 这 是 当今 许 
多 服务 器 软件 产品 中 存在 的 主要 问题 。 即 使 开发 人 员 耗 费 大 量 的 时 间 来 构建 软件 ， 以 确保 软 
件 可 以 最 低 权 限 的 用 户 身份 来 执行 ， 但 很 多 部 署 脚 本 依然 将 软件 的 运行 身份 设置 成 了 root， 
或 者 安装 这 个 软件 的 用 户 将 其 安装 为 以 root 身份 运行 ， 而 没有 考虑 其 中 隐 含 的 安全 问题 。 


5.12.7 ”漏洞 根源 分 类 


以 上 对 那些 最 为 严重 和 最 为 常见 的 软件 安全 漏洞 根源 进行 了 概述 ， 当 然 对 此 并 未 做 到 
毫 无 遗漏 的 穷 举 。 现 在 ， 美 国政 府 的 国家 标准 技术 研究 所 (NIST 正 和 一 些 行业 组 织 一 起 努 
力 构建 一 套 针对 所 有 漏洞 根源 的 分 类 法 ， 他 们 从 几 个 源头 ( 既 有 商业 机 构 也 有 政府 机 构 ) 出 发 
征求 信息 输入 来 构建 一 个 漏洞 根源 列表 。NIST 的 软件 质量 保障 度量 和 工具 评估 项 目 力图 协 
调 以 下 五 种 最 流行 的 分 类 法 : 


e 7 种 有 害 领 域 。 

e LCASP: 综合 的 轻 量 级 应 用 程序 安全 过 程 。 

e 软件 安全 的 19 宗 罪 。 

。 OWASP 最 为 严重 的 Web 应 用 程序 安全 漏洞 前 10 名 。 
e CWE: 常见 弱点 样 表 。 


5.13 本 章 小 结 


本 章 主要 介绍 了 软件 安全 动态 渗透 测试 的 相关 内 容 。 其 中 ， 首 先 介绍 了 动态 渗透 测试 启 
动 之 前 建立 测试 计划 的 步 又， 接着 介绍 了 动态 渗透 测试 过 程 中 常用 技术 手段 ， 主 要 包括 主机 
侦查 、Web 服务 器 攻击 、 数 据 库 攻击 口令 破解 、 会 话 劫持 以 及 木马 和 后 门 的 运用 。 另 外 ， 本 
章 也 对 常见 的 服务 器 渗透 攻击 、 缓冲 区 溢出 攻击 、 拒绝 服务 攻击 和 软件 漏洞 进行 了 简要 阐述 ， 
给 读者 将 来 对 软件 安全 动态 渗透 测试 进行 更 深入 的 学 习 打下 基础 。 软 件 安全 渗透 测试 是 保障 
软件 安全 的 主要 手段 ， 由 于 它 模拟 现实 环境 中 软件 可 能 面临 的 各 种 攻击 ， 所 以 可 以 极 大 地 提 
高 软件 的 安全 性 。 
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本 章 导读 
HP WebInspect 是 一 款 可 配置 的 自动 化 Web 应 用 安全 和 渗透 测试 工具 。 它 旨 在 模拟 实际 
的 黑客 入 侵 和 攻击 ， 支 持 全 面 透彻 的 Web 应 用 和 安全 漏洞 分 析 服 务 。 本 章 将 介绍 WebInspect 
的 基础 知识 和 安装 方法 . 
应 掌握 的 知识 要 点 : 
e WebInspect 的 主要 特点 ; 
爬行 和 审计 的 概念 ; 
WebInspect 报告 ; 
WebInspect 手动 黑客 控制 ; 
WebInspect 的 扫描 策略 ; 
Web 服务 评估 ; 
WebInspect 工具 ; 
WebInspect 新 特征 ; 
WebInspect 软件 安装 ; 
WebInspect 主要 功能 。 


6.1 WebInspect 的 主要 特点 


6.1.1 Weblnspect 介绍 


目前 ， 许 多 复杂 的 Web 应 用 程序 主要 基于 新 兴 的 Web 2.0 技术 ，HP WebInspect 对 这 
些 应 用 程序 执行 Web 应 用 程序 安全 测试 和 评估 。HP WebInspect 可 提供 快速 扫描 功能 、 广泛 
的 安全 评估 及 准确 的 Web 应 用 程序 安全 扫描 。 虽 然 传统 应 用 扫描 程序 在 发 现 Web 1.0 技术 中 
的 漏洞 时 表现 得 很 好 ， 但 是 它们 在 扫描 更 新 的 Web 2.0 技术 时 通常 显得 不 够 智能 。 
WebImspect 可 识别 很 多 传统 扫描 程序 检测 不 到 的 安全 漏洞 。 利 用 创新 的 评估 技术 ， 例 如 
同步 扫描 和 审计 (SCA，Simultaneous Crawl and Audib 及 扫描 并 发 应 用 程序 ， 用 户 可 以 快速 而 
准确 地 自动 执行 Web 应 用 程序 安全 测试 和 Web 服务 安全 测试 。 

WebInspect 是 准确 和 自动 的 Web 应 用 程序 和 Web 服务 漏洞 评估 解决 方案 。 使 用 WebInspect， 
安全 专业 人 士 和 规范 审计 人 员 可 以 便捷 地 分 析 Web 应 用 程序 和 Web 服务 。WebInspect 是 
全 球 领先 的 Web 安全 专家 每 天 维护 和 更 新 的 唯一 产品 。 这 些 解 决 方案 专门 设计 用 来 评估 潜在 
的 安全 漏洞 ， 并 提供 所 有 用 户 需 要 解决 这 些 问 题 的 信息 。 
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WebInspect 可 提供 评估 技术 的 最 新 发 展 ， 能 适应 任何 企业 环境 的 Web 应 用 安全 产品 。 
当 用 户 开始 进行 漏洞 评估 时 ，WebInspect 的 “评估 代理 ”(Assessment Agent) 能 对 Web 应 用 的 
所 有 区 域 进行 分 析 ， 当 这 些 代理 完成 评估 后 ， 研 究 结果 被 发 布 到 核心 的 安全 引擎 去 分 析 ， 然 
后 WebInspect 启动 审计 引擎 评估 所 收集 的 信息 并 应 用 攻击 算法 来 查找 漏洞 的 位 置 ， 从 而 确定 
其 严重 程度 。 通 过 这 个 方法 ，WebInspect 可 持续 使 用 适当 的 评估 资源 来 适应 用 户 特定 的 应 用 
环境 。 
6.1.2 ”Weblnspect 的 主要 特征 

以 下 是 WebInspect 功能 的 一 个 简要 概述 。 

1. 爬行 和 审计 

WebInspect 可 以 用 店 行 和 审计 这 两 种 基本 模式 来 确定 检测 对 象 的 安全 弱点 。 

疏 行 是 通过 WebInspect 来 识别 目标 网 站 结构 的 一 个 过 程 。 从 本 质 上 讲 , 仆 行 会 遍历 整个 
网 站 ， 直 到 没有 更 多 的 URL 可 以 访问 。 

审计 是 目标 网 站 的 漏洞 评估 。 当 疏 行 和 审计 组 合成 为 一 个 新 功能 时 ， 称 之 为 扫描 。 

扫描 是 基于 实时 审计 结果 的 细 化 ， 产 生 整 个 Web 应 用 程序 的 攻击 面 的 全 面 视 图 。 智 能 
引擎 采用 了 基于 逻辑 的 、 结 构 化 的 方法 来 分 析 一 个 应 用 程序 ， 然 后 基于 应 用 程序 的 行为 和 环 
境 进行 自 定义 攻击 。WebInspect 把 这 些 先进 的 、 具 有 突破 性 的 评估 技术 与 存储 在 漏洞 数据 库 
中 已 知 的 Web 应 用 程序 漏洞 相 结 合 来 进行 扫描 。 

2. 报告 

使 用 WebInspect 报告 可 获得 有 价值 、 有 组 织 的 应 用 程序 信息 。 在 WebInspect 的 报告 中 
可 以 自 定义 报告 细节 ， 决 定 什么 级 别 的 信息 包含 在 哪 一 个 报告 中 ， 使 报告 适应 每 一 个 特定 的 
观众 。 也 可 以 使 用 报告 设计 器 创建 自己 的 报告 ， 保 存 各 种 格式 的 报告 ， 还 可 以 使 用 图 形 方 式 
来 表达 汇总 后 的 漏洞 数据 。 

3. 手动 黑客 控制 


使 用 WebInspect， 可 看 到 网 站 上 实际 发 生 了 什么 事件 ， 也 可 以 模拟 一 个 真正 攻击 的 
环境 。 使 用 WebInspect 能 够 查看 任何 页 面 中 包含 漏洞 的 代码 ， 然 后 修改 服务 器 请 求 并 立 
即 提交 。 

使 用 网 络 代 理工 具 ， 如 Web 代理 ， 从 客户 端 接收 请 求 ， 从 服务 器 接收 响应 ， 或 者 找到 满 
足 自己 创建 的 搜索 规则 的 文本 ， 可 以 暂停 客户 机 到 服务 器 的 数据 流 。 

4. 总 结 和 修正 

扫描 过 程 中 ，WebInspect 为 所 有 的 漏洞 检测 提供 汇总 和 补救 信息 。 其 中 包括 参考 材料 、 
补丁 链接 、 预 防 未 来 问题 说 明和 漏洞 的 解决 方案 。 随 着 新 的 攻击 和 非 正常 使 用 的 发 生 ， 
WebImspect 也 将 总 结 和 修正 信息 数据 库 。WebInspect 工具 栏 使 用 智能 更 新 和 最 新 漏洞 解决 方 
案 信息 来 更 新 数据 库 。 
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5. 扫描 策略 

WebInspect 可 修改 和 自 定义 扫描 策略 , 减少 WebInspect 完成 全 部 扫描 所 耗费 的 时 间 ， 以 
满足 用 户 组 织 的 要 求 。 
用 户 还 可 以 扩展 WebInspect 产品 的 功能 ， 以 满足 组 织 的 特定 需求 。 可 配置 WebInspect 
来 适应 任何 Web 应 用 程序 环境 ， 并 使 用 自 定义 检查 向 导 来 创建 自 定义 攻击 。 

6. 可 排序 和 定制 的 视图 

当 进 行 扫描 或 查看 一 个 扫描 时 ， 在 WebInspect 窗口 左边 的 导航 窗 格 中 包括 网 站 、 序 列 、 
搜索 和 步 模式 (Step Mode) 按 钮 ， 这 些 按钮 决定 了 导航 窗 格 中 显示 的 内 容 (或 “视图 ”)。 

e 网 站 视图 展现 WebInspect 检测 到 的 所 扫描 网 站 的 文件 层次 结构 。 
序列 视图 根据 WebInspect 自动 评估 或 手动 候 行 ( 步 模式 ) 的 结果 顺序 ， 显示 服务 器 资源 。 
搜索 视图 能 找到 满足 指定 条 件 的 会 话 。 
步 模式 能 用 来 手动 浏览 网 站 ， 起 始点 为 从 网 站 视图 或 序列 视图 中 选择 的 会 话 。 

7. 整个 企业 范围 内 的 应 用 能 力 

从 整体 企业 的 角度 看 ， 综 合 的 评估 过 程 为 Web 状态 提供 了 一 个 全 面 的 概览 ， 使 用 户 能 
有 选择 地 对 网 络 上 所 有 基于 Web 的 应 用 进行 单独 的 或 计划 的 应 用 评估 。 


8. Web 服务 评估 


WebInspect 提供 针对 Web 服务 漏洞 的 全 面 评估 ， 通 过 WebInspect 可 评估 包含 Web services/ 
SOAP(Simple Object Access Protocol， 简 单 对 象 访问 协议 ) 对 象 的 应 用 系统 。 

9. 导出 向 导 

通过 WebInspect 可 配置 的 XML 导出 工具 ， 用 户 能 以 一 种 标准 化 的 XML 格式 导出 扫描 
过 程 中 发 现 的 所 有 信息 ， 包 括 注释 、 隐 藏 域 、JavaScript、Cookie、Web 窗 体 、URL、 请 求 和 
会 话 。 用 户 可 指定 要 导出 信息 的 类 型 。 导 出 向 导 还 包括 一 个 “清理 ”功能 ， 可 以 防止 导出 信 
息 中 包含 敏感 数据 。 

10. 工具 


在 WebInspect 中 集成 了 一 系列 诊断 和 渗透 测试 工具 ， 包 括 : 
e 审计 输入 编辑 器 

® Cookie Cruncher 

e 编码 器 /解码 器 

e HTTP 编辑 器 

e 日 志 查 看 器 

e 策略 管理 器 

。 正则 表达 式 编辑 器 
e 报表 设计 器 

e@ Server 分 析 

e Server 事件 探查 器 
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智能 更 新 

SQL 注入 

SWF 扫描 

Web Brute( 网 络 狂 人 ) 
风 络 发 现 

Web 窗 体 编辑 器 
网 络 Fuzzer 

网 络 宏 录 制 

Web 代理 


6.1.3 ”Weblnspect 新 特征 


WebInspect 是 首届 一 指 的 Web 应 用 程序 安全 评估 工具 ,其 设计 专门 针对 当今 复杂 的 、 基 
于 新 兴 的 Web 2.0 技术 Web 应 用 程序 。 这 种 新 架构 提供 更 快 的 扫描 能 力 ， 更 广 的 评估 范围 ， 
以 及 对 任意 Web 应 用 程序 提供 更 准确 的 扫描 结果 。 


1. 闪存 的 静态 分 析 


WebInspect 可 反 编 译 Shockwave Flash SWF 文件 的 最 新 版 本 ， 然 后 对 产生 的 ActionScript 3 
代码 执行 静态 分 析 来 检测 漏洞 ， 如 不 安全 的 编程 实践 、 不 安全 的 应 用 程序 部 署 、 违 反 Adobe 
“最 佳 实践 ”的 行为 和 信息 泄露 。 


2. 新 报告 系统 
WebInspect 新 版 本 的 和 强大 的 报告 系统 有 助 于 分 析 演 示 数 据 。 用 户 通过 新 报告 系统 可 执 
行 以 下 操作 : 
创建 灵活 的 、 可 扩展 的 报告 ， 并 且 采 用 改进 的 、 速 度 更 快 的 新 一 代 工作 流程 
修改 标准 报告 或 使 用 新 的 报告 设计 器 来 设计 自己 的 报告 ; 
从 外 部 数据 源 中 提取 信息 ; 
新 报告 样式 编辑 器 自 定义 字体 、 颜 色 和 背景 等 ; 
生成 专业 的 扫描 报告 ; 
用 新 的 会 话 报告 重点 分 析 单 个 会 话 。 
3. 可 选 的 深度 优先 疏 行 
深度 优先 疏 行 最 适合 基于 顺序 浏览 的 这 一 类 网 站 (例如 在 访问 页 面 B 之 前 必须 先 访问 页 
面 A)。 该 方法 会 根据 第 一 个 网 页 A 的 第 一 个 链接 到 达 此 链接 指向 的 网 页 B 的 第 一 个 链接 ， 
只 有 在 访问 网 页 B 的 所 有 链接 后 ， 再 返回 网 页 A 去 访问 第 二 个 链接 ， 依 此 类 推 。 与 此 相对 应 
的 是 ， 广 度 优先 爬行 (也 是 另 一 种 可 行 的 方式 ) 首 先 会 访问 网 页 A 的 所 有 链接 ， 再 逐次 访问 网 
页 中 每 个 链接 所 对 应 的 网 页 。 
4. Java MVC 框架 支持 


通过 HP DevInspectJava 团队 的 深入 研究 ，WebInspect 已 经 能 够 使 用 基于 路 径 攻击 和 导 
航 参 数 的 深度 优先 爬行 方法 ， 支 持 建立 在 Java MVC 平台 上 的 应 用 程序 。 
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5. 使 用 IBM Rational ClearQuest 集成 
用 户 可 以 直接 将 漏洞 缺陷 发 送 到 IBM Rational ClearQuest 版 本 7 中 。 


6.2 ”软件 安装 


6.2.1 ”最低 配置 


在 安装 WeblInspect 之 前 ， 请 用 户 确保 系统 满足 以 下 最 低 要 求 : 
e 支持 的 操作 系统 : Windows XP 专业 版 SP3(32 位 )，Windows Server 2003 标准 SP2(32 
位 )，Windows Vista SP1 的 (32 位 或 64 位 )，Windows 7 SP1(32 位 或 64 位 ); 
处 理 器 : 单 核 1.5 GHz( 推 荐 双核 2.5 GHz 或 更 高 频率 ); 
内 存 : 1 GB( 建 议 4GB); 
硬盘 空 闪 空间 ，2 GB( 建 议 20 GB); 
网 络 : 一 个 有 效 的 Internet 连接 (推荐 更 新 ); 
显示 器 : 1024x768( 推 荐 1280 x 1024); 
数据 库 : Microsoft SQL Server 2005 Express 版 SP3 或 SQL Server 2005 标准 版 SP3( 推 
荐 SQL Server 2008 R2 SP2)。 
当 使 用 SQL Server Express 版 ， 扫 描 数据 不 得 超过 4 GB。 对 于 较 大 扫描 ， 或 允许 共享 扫 
描 数据 ， 使 用 SQL Server 2008 标准 版 。 
@ 平台: Microsoft NET Framework 3.5 SP1( 推 荐 4.0); 
e@ 浏览 器 : Microsoft Intemet Explorer 7.0( 推 荐 9.0); 
e@ PDF 支持: Adobe Reader 8.1.2 或 9.0( 仅 用 于 在 导出 的 PDF 中 查看 报告 内 容 )。 
不 支持 测试 版 本 的 操作 系统 ， 服 务 包 以 及 第 三 方 组 件 (比如 Microsoft SQL Server Expres s)。 
当 安 装 SQL Server Express 版 时 ， 接 受 所 有 默认 设置 ，WebInspect 默认 实例 名 是 SQLEX 
PRESS。 惠普 还 建议 选择 “隐藏 高 级 安装 选项 ”和 “添加 当前 用 户 为 数据 库 管理 员 ” 的 复 选 框 。 
SQL Server 2008 的 标准 版 可 安装 在 本 地 主机 或 附近 并 列 的 主机 上 。 在 WebInspect 中 , 可 
通过 单 击 Edit( 编 辑 ) 一 Application Settings( 应 用 程序 设置 ) 一 Database( 数 据 库 ) 来 配置 该 选项 。 


6.2.2 下载 和 安装 Weblnspect 


1. 下 载 

WebInspect 的 官方 网 站 是 http://www8.hp.com/cn/zh/software-solutions/ software html? software. 
html?compURI=1341991， 登 录 该 网 站 ， 单 击 试用 版 与 演示 的 下 拉 菜 单 ， 即 可 下 载 目前 最 新 版 
本 的 WebInspect 10.20， 如 图 6-1 所 示 。 

仔细 阅读 HP WebInspect 10.20 软件 的 下 载 使 用 条 款 ， 单 击 “ 我 同意 ” 即 可 进入 到 下 载 界 
面 ， 如 图 6-2 所 示 。 

可 以 下 载 时 , 可 以 使 用 HP WebInspect Manager 或 标准 下 载 ( 即 迅雷 下 载 )， 建 议 使 用 迅雷 
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下 载 ， 如 图 6-3 所 示 。 


商用 


Weblnspect 
二 过 模拟 实际 攻击 来 测试 Web 应 用 。 


Hp Weblnspect 10.20 英 文 软件 电子 介 | 


示 v 


图 6-1 WebInspect 10.20 下 载 界面 


和 个 人 信息 ，@@ 服务 条 款 ， 


HP Webinspect 10.20 英文 软件 电子 介质 评估 版 


软件 下 载 使 用 条 款 


请 在 下 载 软件 前 仔细 网 疡 。 | 
.本 许可 协议 i 定 了 您 〈" 您 "或 "您 的 ") 与 串 普 公司 及 其 子 公司 〈* 患 普 ") 之 间 针 对 您 从 患 普 网 站 下 载 
《人 多。 下载 、 旬 后 用 此 软件。 后 来 明 经 同 总 此 协议 。 如果 人 不同 站 和 此 协议 条 
喜 的 约束 ， 请 不 要 单 击 下 面 的 .入 同意 "， 目 不 要 下 载 、 安 装 、 复 制 或 使 用 忆 必 件 
条 款 。 尼 协议 包括 惠普 引 月 的 支持 条 款 和 | 可 以 是 软件 许可 信息 、 于 0 许可 授权 - 软件 规范 、 发 布 的 保 
证 、 供 应 商 条 款 、 开 源 软件 许可 和 类 似 内 容 〈*“ 支 持 村 料 ") 。 可 在 此 处 找到 附加 许可 授权 : 
Www.hp.com/go/SWLicensing 。 
授权 。 如 果 您 代表 其 他 人 或 实体 同意 此 协议 ， 风 荐 保 证 您 有 权 这 样 依 。 此 协议 将 对 您 和 你 下载， 安装 或 址 用 
此 产 晤 所 针对 的 任 实 体 生 效 。 
为 消费 者 获得 了 此 软件 ， 此 协议 中 不 会 有 任何 条 款 景 g 队 二 定 权利 - 
守 此 协议 ， 惠普 即 授予 您 一 项 非 唯一 、 不 可 转让 的 许可 ,来 仅 


份 复制 ， 这 样 的 使 用 本 这 循 软件 产品 或 其 支持 材料 中 的 任何 特定 软 人 信息 。 
您 的 二 用 下 清苦 1 下 阳 兰 一 逐 扩 在 去 款 烤 术 由 赎 员 ks 江 。 


单 击 "我 同意 "并 使 用 本 软 半 ， 即 素 示 您 接受 本 囊 昔 (HP) 软件 下 载 协 议 。 如 果 您 单 击 我 不 同意 -并 且 不 接受 惠普 (HP) 钦 件 下 载 协议 ， 则 未 被 许可 访 


问 此 软件 、 末 补 授 权 使 用 此 软件 ， 而 且 不 能 下 载 此 软件 。 


图 6-2 WebInspect 10.20 下 载 使 用 条 款 


[1 个 人 信息 ，@@ 服务 条 郝 ， 四 下 载 


HP Weblnspect 10.20 英文 软件 电子 


请 首先 查看 此 内 容 : 
Letter HP WI10.20 
图 PDF0.05 MB 


brine 。 


使 用 HP Download Manager 


使 用 标准 下 载 


Letter, HP W110.20 0.05 MB 下 载 


Software, Weblnspect 10.20 1526 MB 


图 63 ”WeblInspect 10.20 下 载 界面 
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2. 安装 
下 载 的 WebInspect 软件 是 ISO 镜像 文件 ， 需 要 在 DAEMON Tools Lite 软件 中 打开 ， 
如 图 6-4 所 示 。 在 联网 条 件 下 安装 WebInspect 时 , 如 果 本 地 计算 机 没有 安装 Microsoft .NET 
Framework 4.0, 系统 会 提示 安装 。 在 安装 WebInspect 时 , 系统 检测 计算 机 是 否 已 安装 Microsoft 
SQL Server 2008 R2 Express SP2 或 者 更 高 级 版 本 ， 有 则 直接 安装 WebInspect;， 没 有， 系统 
先 默认 安装 Microsoft SQL Server 2008 R2 Express SP2， 然 后 安装 WebInspect。 


HP WebInspect 10.20 


Install HP WebInspect 


图 6-4 WebInspect 软件 的 ISO 镜像 文件 在 DAEMON Tools Lite 软件 中 打开 后 界面 


接 下 来 按照 下 列 步骤 来 安装 WebInspect: 
1) 启动 安装 程序 。 
2) 在 欢迎 界面 上 ， 单 击 Next( 下 一 步 )， 如 图 6-5 所 示 。 


ee 
LHP Webin 


Welcome to the HP WebInspect 10.20 
Setup Wizard 


The Setup Wizard wil install HP WebInspect 10.20 on your 
computer. Clck Next to continue or Cancel to exit the Setup 


Wizard. 


图 6-5 安装 WebInspect 10.20 欢迎 界面 


3) 查看 许可 协议 。 如 果 接 受 ， 请 选中 该 复 选 框 并 单 击 Next( 下 一 步 )， 否则 请 单 击 
Cancel( 取 消 )。 

4) 在 目标 文件 夹 窗口 中 ， 选 择 要 安装 的 软件 文件 夹 ， 然 后 单 击 Next( 下 一 步 )。 

5) 如 果 要 安装 WebInspect 作为 评估 管理 平台 (AMP) 的 检测 部 件 ， 可 参见 图 6-6。 
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[ 蜀 eweaneealo2a ee fe amanp Er 
Sensor Configuration I 
NS 
Configure WebInspect as a Sensor for this instalation (optional). > 
' Configure Weblnspect as a Sensor 


一 
Ge Wiocahostfw A 


| REED 区 Ga 


6-6 ”安装 WebInspect 10.20 配置 界面 


a) 选择 配置 WebInspect 作为 AMP 的 检测 部 件 。 
b) 输入 AMP 管理 器 的 URL。 
c) 在 检测 部 件 验证 组 中 ， 输 入 这 个 检测 部 件 的 Windows 账户 证 书 。 
6) 单 击 Next( 下 一 步 )。 
7) 在 准备 安装 窗口 中 ， 单 击 Install( 安 装 )。 
8) 当 这 个 过 程 完成 后 ， 单 击 Finish( 完 成 )， 如 图 6-7 所 示 。 


Completed the HP WebInspect 10.20 
Setup Wizard 


Chck the Fnish button to exit the Setup Wizard， 
Launch HP Webinspect 10.20 


es Ce Co | 


图 6-7 安装 WebInspect 10.20 完成 界面 


3. 许可 证 


首次 启动 WebInspect, 该 程序 显示 WebInspect 产品 注册 向 导 , 它 会 提示 选择 下 列 选项 之 
一 ， 如 图 6-8 所 示 。 

bd 现在 激活 ; 

e 注册 一 个 15 天 试用 版 。 
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icense Waard 到 一 


Welcome to HP Fortify Licensing Step 1 of 


Thank yau for choos ng hewl 
en fer rer We 


图 6-8 WebInspect 产品 注册 向 导 界 面 


4. 试用 注册 


请 按 以 下 步 又 开始 WebInspect 免费 的 15 天 试用 版 。 

1) 在 WebInspect 产品 注册 向 导 窗 口中 ， 选 择 Register 15 Day Trial( 注 册 一 个 免费 的 15 
天 试用 版 )， 然后 单 击 Next( 下 一 步 )。 该 向 导 将 显示 一 个 窗口 ， 提 示 输 入 有 关 用 户 和 用 户 的 公 
司 信息 ， 如 图 6-8 所 示 。 

2) 输入 所 要 求 的 信息 。 

3) 如 果 是 通过 Network Proxy( 代 理 服务 器 ) 连 接 到 Intemet， 从 Proxy Profile( 代 理 配置 ) 文 
件 下 拉 列 表 中 选择 一 个 设置 ， 修 改 设置 (如 有 必要 )， 然 后 单 击 OK( 确 定 )。 

4) 单 击 Next( 下 一 步 )。 

该 步 又 试图 联系 惠普 服务 器 ， 惠 普 服 务 器 将 给 用 户 发 送 一 封 电子 邮件 ， 电 子 邮 件 中 包含 
32 个 字符 的 激活 令 牌 。 

5) 单 击 Finish( 完 成 )。 

6) 当 邮 件 到 达 时 ， 单 击 Edit( 编 辑 ) 菜 单 并 选择 Application Settings( 应 用 程序 设置 )。 

7) 在 应 用 程序 设置 窗口 中 ， 从 左边 窗 格 中 选择 License( 许 可 证 )。 

8) 输入 32 位 数 的 license token( 许 可 证 令 牌 ), 忽略 任何 可 能 出 现在 字符 串 的 连 字 符 (或 简 
单 地 复制 令 牌 ， 在 令 牌 激活 字段 的 第 一 个 块 定位 光标 ， 然 后 按 Ctl+V 键 )。 

9) 输入 一 个 描述 (可 选 )。 

10) 单 击 OK( 确 定 )。 


5. 现在 激活 


如 果 用 户 从 惠普 的 电子 邮件 中 收 到 一 个 激活 令 牌 ， 请 选择 此 选项 。 
1) 在 WebInspect 产品 注册 向 导 页 面 ， 如 图 6-8 所 示 ， 单 击 Activate Now( 立 即 激活 )。 该 
向 导 将 显示 配置 WebInspect 的 许可 证 窗口 。 
2) 在 许可 证 方法 组 中 ， 选 择 下 列 选项 之 一 : 
® Connect directly to HP corporate license server( 直 接连 接 到 惠普 公司 的 许可 证 服务 器 ): 
许可 证 由 惠普 服务 器 控制 。 
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@ Connect to local HP License and Infrastructure Manager( 连 接 到 本 地 的 惠普 许可 证 和 基 
础 设施 管理 器 ): 许可 证 通过 运行 HP 许可 证 和 基础 设施 管理 器 (LIM) 软 件 的 本 地 服务 
器 进行 控制 。 此 安装 界面 提供 一 个 链接 ， 下 载 HP LIM。 
3) 输入 用 户 信息 组 所 要 求 的 信息 , 如 图 6-9 所 示 ( 下 面 步骤 使 用 此 方式 在 已 连接 到 Intemet 
条 件 下 激活 )。 
下 到 Sa | 


| Register for a Free 15 Day Trial Step 2 of 4 
You can ersion of Webinspect by completing the form below. 


an actival be sent to the emal address you specify. 


User Information 
First Name: David = Last Name: Thackery 
™ Company Name: HP 


= Address Line 1: & 1234 Main St 


Address Line 2: 
aa: Anytown = State/Province: GA 

= Zip/Postal Code: = 30548 = Country: UsA 

~ Email: guojunB01@163.com Phone: 777-555-1234 


Network Proxy 


Proxy Profile: 
Hewlett-Packard Privacy Policy <Back | | Next> | | Cancel | 
SS 人 人 sas sa 


图 6-9 输入 相关 信息 


4) 单 击 Next( 下 一 步 )。 
5) 输入 32 位 数 的 Activation Token( 激 活 令 牌 )， 忽 略 任何 可 能 出 现在 字符 串 的 连 字 符 (或 
简单 地 复制 令 牌 ， 在 令 牌 激活 字段 的 第 一 个 块 定位 光标 ， 然 后 按 Ctl+V 键 )， 如 图 6-10 所 示 。 


[9 
量 Named License Activation Step 3 of 4 
Activate Weblnspect wth named user license. 


Activation Token 


2Es86D27 SFOE 486A AC46 OE10CF2ADGEO 


二 :Online Activation 
License service URL; https://UicenseService. HPSmartUpdete.com 


| 加 Network Proxy 


| Proxy Profle: [Use intermet Explorer =) Gam) 


2 Offline Activation 


| License Request File: 


[ | <Back Next> | Cancel | 
= J 


图 6-10 输入 32 位 数 的 许可 证 令 牌 


第 6 章 WebInspect 概述 
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6) 单 击 Next( 下 一 步 )。 关 于 所 安装 的 许可 证 信息 出 现在 授权 范围 部 分 ， 程 序 会 显示 用 户 


的 许可 证 信息 并 确认 WebInspect 的 副本 被 激活 ， 如 图 6-11 所 示 。 


2 好 
en Wd 本 Le lis) 
Congratulations! Step 4 of 4 
Your copy of WebInspect is now activated. 
If you need help or support using WebInspect, please contact us at HPEnterpriseSecurityInfo@hp.com or by 
calfing 1-800-633-3600 
License Details 
Licensing Method: Direct to HP corporate license server 
LE Activation Token: 2e966d27-9f9e-4656a-ac46-0e1l0cf2ad8e0 
1 Expiration Date: 2014/6/14 8:00:00 Order Number: Unknowr 
是 Maintenance Date: 2014/6/14 8:00:00 SAID: Unknown 
Last Updated: 2014/5/7 19:39:07 
Purchaser: Xinggang Xuan User: David Thackery 
Jining China HP 
xuanxinggang@126.com guojun801@163.com 
777-555-1234 
Install Description: GJ-PC(yh) 
Additional Details... 
Hewlett-packard Privacy Policy Finish 


图 6-11 WebInspect 激活 完成 界面 


7) 单 击 Finish( 完 成 )。 


6.3 主要 功能 


图 标 方式 : 单 击 工具 栏 上 代表 相应 命令 的 图 标 按钮 ; 
自动 执行 Web 应 用 程序 安全 测试 和 评估 ; 

在 整个 生命 周期 中 执行 应 用 程序 安全 测试 和 协作 ; 
通过 最 先进 的 用 户 界面 轻松 运行 交互 式 扫描 ; 

利用 高 级 工具 (HP Security Toolkit) 执行 渗透 测试 ; 
配置 以 支持 任何 Web 应 用 程序 环境 。 


6.4 本章 小 结 


本 章 介 绍 了 HP WebInspect 的 主要 特征 、 新 特征 以 及 主要 功能 。 HP WebInspect 是 业内 领 


先 的 网 站 应 用 安全 评估 解决 方案 ， 可 以 透彻 分 析 复 杂 的 Web 应 上 


程序 和 Web 服务 ， 检 测 出 


其 中 是 否 有 安全 漏洞 。 这 套 解决 方案 的 技术 涵盖 面 广泛 、 扫 描 功 能 速度 快 、 漏 洞 说 明 与 修复 
知识 丰富 ， 并 能 提供 精确 的 网 站 扫描 结果 。 在 掌握 这 些 必 要 的 基本 知识 的 同时 ， 学 会 正确 安 


装 和 激活 WebInspect 是 扫描 网 站 的 前 提 。 
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本 章 导读 
WeblInspect 支持 整个 软件 生存 周期 中 对 Web 应 用 进行 测试 ， 同 时 高 效 管理 测试 结果 。 
用 户 可 以 快速 而 准确 地 自动 执行 Web 应 用 程序 安全 测试 和 Web 服务 安全 测试 ， 从 而 确保 大 
部 分 易 受 攻击 的 输入 点 免 遭 攻击 。WebInspect 安装 也 包括 HP 支持 工具 ， 可 以 帮助 HP 技术 
支持 人 员 分 析 和 解决 用 户 在 使 用 应 用 程序 安全 中 心 产品 遇 到 的 问题 。 本 章 介 绍 了 WebInspect 
的 新 功能 和 各 个 按钮 的 用 法 和 测试 步 又， 并 简 述 了 各 个 HP 支持 工具 。 
应 掌握 的 知识 要 点 : 
了 解 WebInspect 的 新 功能 ; 
使 用 WebInspect 的 步骤 ; 
了 解 WebInspect 工具 栏 ; 
了 解 WebInspect 菜单 栏 ; 
生成 报告 ; 
扫描 网 站 ; 
向 导 扫 描 ; 
基础 扫描 ; 
Web 服务 扫描 ; 
企业 扫描 ; 


了 解 HP 支持 工具 。 


7.1 WebInspect 10.20 的 新 功能 和 增强 功能 


惠普 公司 推出 的 WebInspect 10.20 是 目前 的 最 新 版 本 ， 较 以 往 的 版 本 ，WebInspect 10.20 
具有 如 下 的 新 功能 和 增强 功能 。 


1) 本 地 移动 服务 扫描 

手动 候 行 本 机 移动 应 用 程序 并 捕获 网 络 流量 作为 工作 流 的 宏 。 一 旦 捕获 到 从 Android 或 
iOS 应 用 程序 定向 到 后 端 服务 的 HTTP 流量 后 ， 即 可 使 用 WebInspect 的 一 套 标准 操作 来 进行 
重 放 、 模 糊 测 试 和 注入 攻击 等 安全 测试 。 这 是 一 个 专门 添加 到 捆绑 移动 检查 的 新 方法 。 


2) Weblnspect 代理 改进 
WebInspect 代理 (原名 SecurityScope) 可 与 WebInspect 在 没有 额外 成 本 的 条 件 下 与 用 户 界 
面 和 扫描 引擎 深度 整合 。 当 存在 兼容 性 时 ， 代 理 兼容 性 由 预 扫 描 分 析 器 检测 和 通过 链接 进行 
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安装 ， 并 在 用 户 界面 呈现 。 该 代理 也 采用 一 个 新 的 活跃 模式 运作 , 对 于 WebInspect， 也 可 以 
使 用 攻击 策略 去 提高 精度 和 性 能 。 


3) 7 种 致命 错误 分 类 

Fortify Software 的 安全 研究 小 组 与 加 里 麦 格 劳 博士 (Dr Gary McGraw) 一 起 对 软件 开 
发 的 安全 性 进行 了 7 种 致命 错误 的 分 类 。 这 种 分 类 是 为 了 帮助 开发 人 员 和 安全 人 员 理解 常见 
的 导致 漏洞 的 编码 错误 类 型 。 当 构建 和 测试 软件 时 ， 通 过 将 这 些 错误 形成 一 个 简单 的 分 类 ， 
开发 人 员 可 以 很 容易 地 识别 导致 安全 漏洞 的 问题 类 别 ， 并 找 出 存在 的 错误 。 


4) FIPS 的 兼容 性 
WebImspect 配置 符合 (美国 ) 联 邦 信息 处 理 标准 (FIPS, Federal Infonmation Processing Standards)， 
可 在 Windows 环境 下 运行 。 


5) 通过 浏览 器 模拟 对 移动 网 站 的 扫描 

移动 网 站 可 在 自 定义 用 户 代理 下 进行 扫描 ， 或 在 流行 的 移动 平台 用 户 代 理 下 进行 扫描 。 
对 于 Android 系统 而 言 ，Safari 或 Chrome 等 浏览 器 都 可 供 选择 。 在 这 种 模式 下 ，WebInspect 
可 以 扫描 该 网 站 的 内 容 ， 因 为 它 将 被 泻 染 到 移动 浏览 器 中 。 


6) Weblnspect API( 应 用 程序 界面 ) 
除了 命令 行 工 具 ，WebImspect 公开 了 REST( 表 述 性 状态 转移 ，Representational State Transfer) 
服务 端点 ， 以 允许 远程 客户 配置 、 控 制 和 从 扫描 中 检索 数据 。 


7) 显著 改进 了 JavaScript 引擎 
e@ 通过 升级 到 最 新 Gecko 引擎 ， 对 HIMLS 和 现代 Web 新 标准 提供 更 好 的 支持 。 
。 通过 智能 办 法 消除 多 余 的 执行 脚本 ， 使 性 能 得 以 改善 。 


8) 更 新 Web 宏 记 录 器 

e 本 地 化 HTML5 记录 支持 ; 
e 改善 准确 性 ; 

e 升级 到 最 新 的 Gecko 引擎 。 


9) 改进 的 HTML5 支持 
DOM 使 用 HTMLS5 特性 操作 客户 端 进行 审计 。 


10) 更 新 平台 支持 


® Windows8 
® Windows Server 2012 
e 正 浏 览 器 10 


11) 许可 证 和 基础 设施 管理 器 (LIM) 通 过 Weblnspect 交付 安装 
LIM 不 再 分 开 购买 安装 WebInspect 后 ,LIM3.0 是 驻 留 在 文件 系统 中 一 个 简单 Windows 
安装 程序 文件 。 
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12) 自动 检测 CSRF 令 牌 和 重新 配置 扫描 设置 
WebInspect 可 以 自动 检测 CSRF 令 牌 和 重新 配置 扫描 设置 。 


13) BURP 导入 
WebInspect 可 在 WebProxy 工具 中 打开 BURP 文件 ， 导 入 BURP 流量 作为 工作 流 的 宏 。 


14) 增加 了 对 GWT 的 支持 扫描 
WebInspect 增加 了 对 GWT 的 支持 扫描 。 


7.2 使 用 WebInspect 


7.2.1 基本 介绍 


首次 启动 WebInspect 时 ， 应 用 程序 在 客户 区 显示 Start Page( 开 始 页 ) 选 项 卡 ， 如 图 7-1 所 
示 。 此 选项 卡 显示 超 链 接 的 五 大 主要 功能 : 

e@ Start a Guided Scan( 启 动向 导 扫 描 ) 

e@ StartaBasic Scan( 启 动 基础 扫描 ) 

e@ Starta Web Service Scan( 启 动 Web 服务 扫描 ) 

e@ Start an Enterprise Scan( 启 动 企业 扫描 ) 

e@ Generate a Report( 生 成 报告 ) 

e Start SmartUpdate( 启 动 智能 升级 )( 非 功能 ) 


hinspect 10.70. 


Security Content - 2014 Updote 1 


5 What's new in WebInspect 10.201 


a) Introducing HP Webinspect 10.20 
hl 


What's new in Weblnspect 10.20 


New features and enhancemenis 


Native Mobile service Scanning Resources 


图 7-1 WebInspect 打开 界面 


户 可 通过 单 击 窗 格 上 方 条 形 栏 的 左 箭头 图 来 关闭 左 窗 格 。 右 窗 格 中 的 内 容 是 由 按 乌 栏 
上 的 选择 按钮 确定 ， 如 图 7-2 所 示 。 
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Reports Help 
r 鸭 Policy Manager 阐 Report @Schedule 败 SmartUpdate 


图 7-2 按钮 栏 
按钮 栏 选项 包括 : 
e Home( 首 页 ):; 显示 最 近 打 开 的 扫描 列表 ， 今 日 进行 的 计划 扫描 ， 最 近 生 成 的 报告 ， 
以 及 从 惠普 服务 器 下 载 的 信息 。 


。 Manage Scans( 管 理 扫描 ): 显示 先前 进行 的 扫描 列表 ， 用 户 可 以 打开 、 重 命名 或 删除 
列表 。 单 击 Connections( 连 接 ) 选 择 数据 库 : 选择 本 地 (扫描 在 用 户 机 器 上 配置 了 SQL 
Server 2008 Express 数据 库 列表 ) 或 远程 (扫描 在 服务 器 上 或 网 络 上 配置 了 SQL Server 
2008 Standard 的 数据 库 列 表 )， 或 选择 两 者 。 

e Manage Schedule( 管 理 计划 ): 显示 预定 要 执行 的 扫描 列表 。 用户 可 添加 一 个 扫描 计划 
表 ， 编 辑 或 删除 一 个 预定 的 扫描 ， 或 手动 启动 扫描 。 

用 户 每 次 启动 一 个 扫描 ， 即 WebInspect 打开 一 个 标记 名 称 或 目标 网 站 描述 的 标签 。 这 项 

作 区 域 被 分 为 三 个 区 域 ， 导 航 窗 格 、 信 息 窗 格 和 摘要 窗 格 ， 如 图 7-3 所 示 。 


工 


a 


DD New ~ Opn ~ Qcomplance Marager 国 poto Manager 四 Repon @ Schedude smarupdete 
区 Starlpenume 国 Pouse 了 关 5up 篇 Med | 除 Rescan - 央 compare 


图 7-3 ”WebInspect 的 三 个 工作 区 域 


如 果 用 户 同 时 打开 大 量 的 扫描 ， 导 致 没有 足够 的 空间 来 显示 所 有 标签 ， 可 以 通过 单 击 标 
答 栏 最 右 端的 箭头 4 来 滚动 标签 。 单 击 义 关闭 选 定 的 标签 。 
7.2.2 导航 窗 格 


在 进行 或 查看 扫描 时 , 导航 窗 格 是 在 WebInspect 窗 口 的 左 侧 。 它 包括 Site( 网 站 )、Sequence 
(序列 )、Search( 搜 索 ) 以 及 Step Mode ( 步 模式 ) 按 钮 ， 这 些 按钮 用 来 确定 内 容 (或 “视图 ”)， 如 
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图 74 所 示 。 

在 导航 窗 格 底部 的 按钮 分 别 对 应 不 同 的 视图 : 网 站 、 序 列 、 搜 索 、 步 模式 。 如 果 未 显示 
所 有 按钮 ， 单 击 列表 底部 的 下 拉 按 馈 居 ， 将 显示 更 多 按钮 。 

1. 网 站 视图 

在 导航 窗 格 中 ，WebInspect 网 站 视图 仅 显示 那些 公布 网 站 层次 结构 的 会 话 ， 以 及 漏洞 
被 发 现 的 会 话 。 在 网 站 进行 代行 时 ，WebInspect 选择 每 个 会 话 旁 的 复 选 框 (默认 情况 下 )， 
明 会 话 也 将 进行 审计 。 当 进行 连续 疏 行 和 审计 时 (其 中 网 站 被 审计 之 前 完全 进行 疏 行 )， 月 
可 通过 清除 相关 的 复 选 框 ， 在 审计 开始 前 放弃 对 该 会 话 进行 审计 。 

网 站 视图 还 包含 两 个 弹出 选项 卡 : Excluded Hosts( 排 除 主机 ) 和 Allowed Hosts Criteria( 允 
许 主机 标准 )， 如 图 7-5 所 示 。 


Site 
回声 map:lfwww-sptdynam A 


卫 没 从 


局 _vti_pvt 四 
局 _vti_txt 

局 admn 

改 aspnet_cdient 
局 bacwp 

局 cg-bn 

国 | cooketest 
国 cvs 

匾 由 


蕊 eror og 
局 waa 


(> 


图 7-4 ”WebInspect 的 导航 窗 格 图 7-5 网 站 视图 下 的 排除 主机 和 人 允许 主机 标准 


图 


图 -图 


图 图 -图 
拓 国 回国 国 固 国 国 国 辐 国 


1) 排除 主机 

如 果 单 击 Excluded Hosts( 排 除 主机 ) 选 项 卡 (或 鼠标 指针 在 其 上 面 悬 停 )， 该 选项 卡 显示 所 
有 禁止 的 主机 列表 。 这 些 主机 可 在 目标 网 站 内 的 任何 地 方 被 访问 ， 但 不 能 被 扫描 。 要 扫描 这 
些 主机 ， 需 要 单 击 DefaulyCurrent Scan Settings -Scan Settings- Allowed Hosts( 默 认 / 当 前 扫 
描 设置 一 扫描 设置 一 允许 主机 )， 即 “允许 主机 设置 ”。 

使 用 Excluded Hosts( 排 除 主机 ) 选 项 卡 ， 用 户 通过 单 击 Add to scan( 添 加 到 扫描 )， 或 Add 
allowed host criteria( 添 加 到 允许 主机 标准 )， 可 选择 要 排除 的 主机 。 如 图 7-6 所 示 。 

Addto Scan 会 在 主机 根 目录 下 的 网 站 树 建立 一 个 节点 。WebInspect 将 扫描 该 节点 。 如 果 
用 户 选 择 DefaulyCurrent Scan Settings 一 Scan Settings 一 Session Storage( 默 认 /当前 扫描 设置 一 
扫描 设置 一 会 话 存储 )，WebInspect 将 扫描 整个 主机 。 

在 当前 扫描 设置 中 , “添加 到 允许 主机 标准 ”, 即 添加 URL 到 允许 主机 列表 中 , WebInspect 
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将 扫描 指向 该 主机 中 的 所 有 后 续 链接 。 但 当 WebInspect 已 经 扫描 指向 该 主机 上 包含 一 个 链接 的 
唯一 资源 后 ， 如 果 用 户 在 “允许 主机 标准 ”上 添加 一 个 主机 ， 新 增 的 主机 将 不 会 被 扫描 。 

2) 允许 主机 标准 

如 果 单 击 Allowed Hosts Criteria( 允 许 主机 标准 ) 选 项 卡 (或 鼠标 指针 在 其 上 面 悬 停 )， 则 会 
在 标签 中 显示 指定 WebInspect 扫描 设置 (在 允许 主机 ) 的 URI( 或 正则 表达 式 )。 

如 果 单 击 Delete( 删 除 ) 或 Add allowed host criteria( 添 加 允许 主机 标准 )，WebInspect 可 以 
打开 当前 设置 对 话 框 ， 用 户 可 以 添加 、 编 辑 或 删除 允许 主机 标准 (文字 的 URL 或 正则 表达 式 
表示 的 URL)， 如 图 7-7 所 示 。 


Add allowed host cnteria ~、 


Add to scan 一 
日 眠 Disalowed 

比 http:/jwww.Freebank.com:; 
化 http:jjwww.heardnthehive 
名 htp:/lpluto.adcyde.com'sC 
器 http:ijwww.adcyde. 
tpl 


Pu 


http: 
久 http:/jweb_server_name:8( 
误 http://www.microsoft.com:t 
名] http:jwww.DocURL.com:8C 


有 hppnes tm mirrnenfr ram 


< > Ee: | 


EEC ected ross [Waloned rosts Creer | 
图 7-6 ”排除 主机 选项 卡 图 7-7 允许 主机 标准 选项 卡 
如 果 用 户 添加 一 个 条 目 ，WebInspect 将 扫描 后 续 环节 遇 到 的 符合 标准 的 任何 主机 。 然 而 
在 WebInspect 扫描 指向 该 主机 包含 一 个 链接 的 唯一 资源 后 ， 如 果 用 户 再 指定 一 个 主机 ,新 增 
的 主机 将 不 会 被 扫描 。 同 样 ， 如 果 用 户 删除 了 允许 主机 列表 中 的 条 目 ， 仍 将 扫描 WebInspect 
遇 到 的 任何 资源 。 
如 果 要 保存 这 些 设 置 便于 将 来 扫描 ， 选 择 Save settings as( 保 存 设置 )( 在 设置 窗口 左 侧 窗 
格 的 底部 )。 
对 “排除 主机 ”或 “人 允许 主机 标准 ”进行 修改 前 ， 必 须 暂停 扫描 。 此 外 ， 增 加 或 删除 主 
机 扫描 是 否 可 用 ， 取 决 于 用 户 暂 停 的 扫描 点 。 例 如 ，WebInspect 已 经 扫描 指向 添加 主机 包含 
一 个 链接 的 唯一 资源 后 ， 如 果 用 户 添加 一 个 允许 主机 ， 则 新 增 的 主机 将 不 会 被 扫描 。 


2. 序列 视图 

顺序 图 显示 了 WebInspect 进行 扫描 过 程 中 服务 器 资源 的 显示 顺序 。 

注意 : 在 网 站 视图 和 序列 视图 中 ， 蓝 色 文本 表示 目录 或 文件 ， 由 WebInspect“ 猜 ”到 的 
(而 不 是 通过 链接 发 现 的 ) 资 源 。 例如, 如 果 目 标 网 站 包含 一 个 名 为 “备份 ”的 文件 , WebInspect 
便 会 不 断 提交 请 求 “GET/ 备 份 / HTTP/1.1”， 试 图 去 找到 它 。 

3. 搜索 视图 

搜索 视图 允许 用 户 在 各 种 HTTP 消息 组 件 的 所 有 会 话 中 进行 搜索 。 例如， 如 果 从 下 拉 列 


> 
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表 中 选择 Response Raw 并 指定 “set-cookie” 作 为 搜索 字符 串 ，WebInspect 便 列 出 每 一 个 会 话 


的 原始 HITP 响应 中 包含 的 “set-cookie” 命 令 ， 如 图 7-8 所 示 。 


Search 


Response Raw 
DD Regular Expression 
Match Whole String 


Search 


URL bad 
[有 http://zero.webappsecurity .com:80/cookietest/SetCc 
i ;80jforgot,asp 


:jlzero,webappsecurity,com:80/banklogin,asp (Q 美 
> 


图 7-8 搜索 视图 


如 果 要 使 用 搜索 视图 : 

1) 在 导航 窗 格 中 ， 单 击 Search( 搜 索 )( 在 面板 的 底部 )。 
2) 从 最 上 面 的 列表 中 ， 选 择 要 搜索 的 区 域 。 选 项 包括 : 
Status Code( 状 态 代码 ) 

URL( 网 址 ) 

Request Raw( 请 求 原 ) 

Request Method( 请 求 方法 ) 

Request Post Data( 请 求 发 送 数 据 ) 

Request Post Data Name( 请 求 发 送 数据 名 称 ) 
Request Post Data Value( 请 求 发 送 数据 值 ) 

Request Headers( 请 求 头 ) 

Request Header Name( 请 求 头 名 称 ) 

Request Header Value( 请 求 头 值 ) 

Request Query( 请 求 查询 ) 

e@ Request Query Name( 请 求 查询 名 称 ) 

e@ ， Request Query Value( 请 求 查询 值 ) 

ee Request Cookies( 请 求 的 Cookie) 

e@ Request Cookie Name( 请 求 的 Cookie 名 称 ) 

e@ ”Request Cookie Value( 请 求 的 Cookie 值 ) 

@ Request File Name and Extension( 请 求 文件 名 和 扩展 名 ) 
e Request File Name( 请 求 文件 名 ) 


e@ Request File Extension( 请 求 文件 扩展 名 ) 

e@ Request Path( 请 求 路 径 ) 

@ ， Response Raw( 响 应 原 ) 

@ ”Response Headers( 啊 应 头 ) 

@ ”Response Header Name( 啊 应 头 名 称 ) 

@ ”Response Header Value( 啊 应 标 头 值 ) 

@ ”Response Cookies( 啊 应 的 Cookie) 

@ ”Response Cookie Name( 响 应 的 Cookie 名 称 ) 

@ ”Response Cookie Value( 响 应 的 Cookie 值 ) 

3) 在 组 合 框 中 ， 键 入 或 选择 要 查找 的 字符 串 。 

4) 如 果 该 字符 串 代表 一 个 正则 表达 式 ， 则 选择 Regular Expression( 正 则 表达 式 ) 复 选 框 。 

5) 在 HTTP 消息 中 要 查找 完全 匹配 的 整个 字符 串 ， 需 选择 Match Whole String( 匹 配 整个 
字符 串 ) 复 选 框 ， 精 确 匹配 不 区 分 大 小 写 。 注 意 : 该 选项 不 适用 于 某 些 搜索 目标 。 

6) 单 击 Search( 搜 索 )。 


4. 步 模式 


使 用 步 模式 手动 浏览 整个 网 站 ， 从 网 站 视图 或 序列 视图 中 选择 一 个 会 话 开始 。 
按照 下 面 的 步 又 逐步 浏览 网 站 : 


1) 在 网 站 视图 或 序列 视图 中 ， 选 择 一 个 会 话 。 

2) 单 击 Step Mode( 步 模式 ) 按 钮 。 如 果 按 钮 不 可 见 ， 请 单 击 Configure Buttons( 配 置 按钮 ) 
的 下 拉 菜 单 ， 然 后 选择 Show More Buttons( 显 示 更 多 按钮 )。 

3) 当 步 模式 显示 在 导航 窗 格 中 ， 从 Audit Mode 列表 选择 Audit as you browse( 浏 览 审 计 ) 
或 Manual Audit( 手 动 审计 )。 建 议 选 择 后 者 ， 如 图 7-9 所 示 。 


Step Mode 


图 7-9 步 模 式 中 选择 手动 审计 


4) 单 击 Record( 记 录 )L 1]。 

5) 单 击 Browse( 浏 览 )。 

浏览 器 会 开启 并 显示 与 所 选 会 话 相关 联 的 响应 。 继 续 浏览 尽 可 能 多 的 页 面 。 

6) 完成 后 ， 返 回 WebInspect 并 单 击 Finish( 完 成 )。 新 的 会 话 被 添加 到 导航 窗 格 中 。 

7) 如 果 在 步骤 3 中 选择 Manual Audit( 手 动 审计 )， 单 击 国 as 时 。WebImnspect 将 审计 所 有 
未 经 审计 的 会 话 ， 包 括 用 户 通过 步 模式 添加 (或 更 换 ) 的 审计 。 


5. 导航 窗 格 中 的 图 标 
使 用 表 7-1 和 表 7-2 来 识别 序列 视图 和 网 站 视图 中 显示 的 资源 。 
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表 7-1 在 导航 窗 格 使 用 的 图 标 
定义 

服务 器 /主机 : 代表 网 站 树 状 结构 的 顶层 
蓝 色 文件 夹 : 由 WebInspect 发 现 的 用 户 Web 服务 器 上 的 私人 文件 夹 。 这 些 文件 
夹 和 网 站 本 身 没有 关系 
黄色 文件 夹 : 文件 夹 的 内 容 在 网 站 上 都 可 以 用 
灰色 文件 夹 : 用 于 指明 该 条 目 通 过 路 径 截断 发 现 一 个 文件 夹 。 一 旦 父 文件 夹 (上 一 
级 文件 夹 ) 被 发 现 ， 它 的 属性 决定 了 该 文件 夹 将 显示 为 蓝 色 或 黄色 
文件 
请 求 或 发 送 
DOM 事件 


表 7-2_ 图标 全 加 在 一 个 文件 夹 或 文件 上 表示 发 现 漏洞 
图 标 定 义 
本 -个 红色 的 惊叹 号 表示 该 对 象 包含 一 个 严重 漏洞 。 攻 击 者 可 在 服务 器 上 执行 命令 ， 
修改 个 人 信息 
-点 表示 的 对 象 包含 一 个 高 级 漏洞 。 一 般 来 说 ， 能 够 查看 源 代码 、 文 件 的 Web 根 
目录 和 敏感 的 错误 消息 


[1@ 在 一 个 蓝 色 圆圈 中 的 “i” 表 示 一 个 信息 项 。 
的 应 用 程序 或 Web 服务 器 
| 三 红色 的 复 选 标 记 表明 违反 “最 佳 实践 (Best Practice)” 


每 个 对 象 都 代表 一 个 会 话 ， 这 是 一 个 匹配 的 集合 ， 包 括 : WebInspect 发 送 HTTP 请 求 去 
检测 漏洞 以 及 来 自 服务 器 的 HTTP 响应 。 


6. 导航 窗 格 中 的 快捷 菜单 
右键 单 击 会 话 (在 导航 窗 格 中 的 条 目 )， 显 示 表 7-3 中 所 描述 命令 的 快捷 菜单 。 


表 7-3_ 导航 窗 格 快捷 命令 


命令 定 义 
d Children( 自动 扩 
ee a 展开 分 支 网 站 中 的 树 节点 ( 仅 适用 于 网 站 视图 ) 
了 级 ) 
en :分 支 网 站 到 上 级 节点 ( 仅 适用 于 网 站 视图 
] 
( 折 下 子 集 ) wt 


Check All*( 查 看 全 部 ) 标记 所 有 子 集 的 复 选 框 ( 仅 适用 于 网 站 视图 ) 
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( 续 表 ) 
命 令 定 义 
UnCheck All*( 全 部 取消 ) 从 所 有 子 集中 删除 复 选 标记 ( 仅 适用 于 网 站 视图 ) 
Generate Session * Report* 创建 一 个 报告 ,显示 摘要 信息 、 攻 击 请 求 和 攻击 响应 、 链接 和 网 址 、 注 释 、 
(生成 会 话 报告 ) 表格 以 及 电子 邮件 地 址 ， 并 为 所 选 会 话 检查 说 明 ( 仅 适用 于 网 站 视图 ) 
et XML 格式 的 网 站 树 保存 到 用 户 具体 指定 的 某 个 位 置 ( 仅 适用 于 网 站 视图 ) 
(导出 网 站 树 ) 
Copy URL( 复 制 网 址 ) 将 选 定 会 话 的 URL 复制 到 剪贴 板 , 选择 Edit->Copy URL( 编 辑 一 复制 URL) 
View im Browser Se 外 二 
(浏览 器 视图 ) 在 浏览 器 中 显示 Web 服务 器 的 响应 
列 出 目标 网 站 的 所 有 资源 , 包括 选 定 资源 的 链接 ( 仅 适用 于 网 站 视图 )。 这 
些 链 接 可 以 通过 HTML 标签 、 脚 本 或 HTML 形式 呈现 。 它 还 列 出 由 选 
Linin( 导 用 定 会 话 的 HTTP 响应 中 的 链接 所 引用 的 所 有 资源 
如 果 用 户 双击 一 个 链接 ，WebInspect 可 将 焦点 转移 到 导航 窗 格 中 所 引用 
的 会 话 。 或 者 , 也 可 以 在 Web 浏览 器 中 通过 查看 会 话 浏览 该 链接 资源 ( 单 
击 Web Browser) 
Add( 汰 加 ) 允许 添加 WebInspect 扫描 的 其 他 地 点 发 现 ( 人 工 检查 ， 其 他 工具 等 ) 以 供 
参考 。 此 外 ， 用 户 可 以 添加 漏洞 位 置 ， 对 网 站 进行 完整 分 析 
Edit Vulnerability( 编 辑 漏洞 ) 允许 编辑 被 手动 添加 的 漏洞 或 编辑 漏洞 的 位 置 
Remove Location 从 导航 窗 格 (包括 网 站 和 序列 视图 ) 删 除 选 定 会 话 ， 并 删除 任何 相关 漏洞 。 
(删除 位 置 ) 注意 : 用 户 可 以 恢复 删除 位 置 (会 话 ) 及 其 相关 的 漏洞 
Crawl( 疏 行 ) 重新 疏 行 选 定 的 URL 
Review Vulnerability 允许 用 户 重 新 测试 该 漏洞 ， 将 其 标记 为 “忽略 ”或 “ 误 报 ”， 或 发 送 到 
(审阅 漏洞 ) HP 质量 中 心 或 BM Rational ClearQuest 
Mark as False Positive _ > 
3 i 标记 漏洞 作为 误 报 ， 并 允许 用 户 添加 注释 
( 误 报 标记 ) 
Remove Server 从 导航 窗 格 中 删除 服务 器 ， 不 包括 任何 剩余 扫描 活动 的 服务 器 。 当 右键 
(删除 服务 器 ) 单 击 服务 器 时 ， 此 命令 才 会 显示 
Attachments 允许 创建 与 选 定 会 话 相关 的 说 明 ， 标 志 的 会 话 跟 进 ， 或 增加 一 个 漏洞 说 
(附件 ) 明 ， 或 添加 一 个 漏洞 快照 
Tools( 工 具 ) 介绍 可 用 工具 的 子 菜单 
er Dy Comen Session | 过 起 摘要 窗 格 所 先 会 话 的 摘要 数据 ID 条 目 
(当前 会 话 过 滤器 ) 
对 于 一 个 缺陷 ， 人 允许 用 户 转换 选 定 漏洞 ， 并 发 送 到 HP 质量 中 心 或 BM 
Send to( 发 送 到 ) 


Rational ClearQuest， 使 用 了 WebInspect 应 用 程序 设置 中 指定 的 配置 文件 


备注 :只 有 在 导航 窗 格 使 用 本 网 站 视图 时 ，* 命 令 才 显示 在 快捷 菜单 上 。 
7.2.3 ”信息 窗 格 
在 进行 或 查看 扫描 时 ， 信 息 窗 格 包含 三 个 可 折 色 的 信息 板 和 一 个 信息 显示 区 。1 代表 扫 
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描 信息 面板 (Scan Info Panel), 2 代表 会 话 信息 面板 (Session Info Panel), 3 代表 主机 信息 面板 (Host 
Info Panel), 4 代表 信 | 显示 区 (Information Display Area)， 如 图 7-10 所 示 。 


Scan Info MN Session Vulnerabilities: htip:/ /zero.webappsecurity.com:80/loginl.asp 
@ Dashboard, 
本 No 

Traffic Monitor > a 
ne Multiple Vulnerabilties Were Found 
Session Info 和 


入 Hiddens Summary: SQL Injection (confirmed) 


Forme Vulnerability iD se 


a Email critical SQL Injecton vuinerabities have been Hentified m the web applcation SQL njection is a method of attack 
vuinerable code and the type of data an MN accept, and can be exploted m any applcation parame 
query. Examples nclude paramaters wihin the url tself post data, or cookle values. If successful SQL Injection 
ER backend database contents the ab iotehy execute system commands of In some crcumstances the mmeal 
hostng the datab: mendations mclude employng a layered approach to securiy that ncludes utilzing 
acceptng user m ‘rng that only expected data is accepted by an application and hardening the databas 


Script 


beng accessed atey 


图 7-10 信息 窗 格 的 三 个 可 折 芝 的 信息 板 和 一 个 信息 显示 区 
通过 单 击 左 栏 中 三 个 信息 面板 之 一 的 某 个 条 目 选 择 显 示 信息 类 型 。 


如 果 用 户 查 看 该 漏洞 信息 , 打开 链接 后 , 需 在 导航 窗 格 中 单 击 highlighted session ( 突 
出 显示 会 话 ) 来 返回 。 


1. 扫描 信息 面板 


Scan Info( 扫 描 信息 ) 面 板 有 五 个 默认 选项 ，Dashboard( 仪 表 板 )、Traffic Monitor( 流 量 监控 
器 )、Recommendations( 注 意 事 项 )、Attachments( 附 件 ) 和 False Positives( 误 报 )。 

仪表 板 显示 对 实时 扫描 结果 的 汇总 和 用 图 形 表示 的 扫描 进展 ， 如 图 7-11 所 示 。 

Crawl Gauge( 疏 行 统计 ): 让 行 会 话 数 / 卜 行 会 话 总 数 。 

Audit Gauge( 审 计 统计 ): 审计 会 话 数 /审计 会 话 总 数 。 

Scan Status( 扫 描 状态 ): 状态 包括 正在 运行 ， 暂 停 或 完成 。 

Crawling Req/Sec( 疏 行 请 求 / 秒 ): 疏 行 当前 网 络 运行 的 每 秒 请 求 数 (运行 步 长 为 5 秒 )。 

Auditing Req/Sec( 审 计 请 求 / 秒 ): 审计 当前 网 络 运行 的 每 秒 请 求 数 (运行 步 长 为 5 秒 )。 

Script Evt/Sec( 脚 本 事件 / 秒 ): 正在 被 执行 的 脚本 事件 数 (运行 步 长 为 5 秒 )。 

Vulnerability Graph( 漏 洞 走 势 图 ): 各 类 级 别 中 已 确定 为 问题 的 总 数 。 

Attack Stats Grid( 攻 击 数据 网 格 ): 统计 攻击 和 发 现 的 问题 ， 以 及 攻击 类 型 和 审计 引擎 的 


Duration( 时 间 ): 扫描 已 经 运行 的 时 间 长 度 (如 果 扫 描 异 常 终止 ， 可 能 不 正确 )。 
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图 7-11 仪表 板 


Policy( 政 策 ): 用 于 扫描 策略 的 名 称 。 

Hosts( 主 机 ): 包括 正在 扫描 的 主机 数 。 

Sessions( 会 话 ): 会 话 总 数 (不 包括 AJAX 请 求 ， 包 括 脚本 和 脚本 框架 ， 包 含 WSDL)。 

Attacks Sent( 攻 击发 送 ): 发 送 攻击 总 数 。 

Issues( 问 题 ): 问题 发 现 总 数 ( 所 有 漏洞 ， 以 及 最 佳 实践 )。 

Total Requests( 总 要 求 ): 提出 请 求 的 总 数 。 

Failed Requests( 失 败 请 求 ): 失败 的 请 求 总 数 。 

Script Includes( 脚 本 包括 ): 包括 脚本 的 总 数 。 

Macro Requests( 宏 请 求 )， 宏 请 求 数 。 

404 Probes(404 探头 ): 文件 未 找到 探测 器 的 数量 来 确定 文件 未 找到 状态 。 

404 Check Redirects(404 重 定向 检查 ): 导致 重 定向 404 探头 的 次 数 。 

Verify Requests( 验 证 请 求 ): 检测 存储 参数 的 请 求 。 

Logouts( 注 销 ): 注销 检测 次 数 和 登录 宏 执行 。 

Macro Playbacks( 宏 回放 ): 已 经 执行 宏 的 次 数 。 

AJAXRequests(AJAX 请 求 ): AJAX 请 求 总 数 。 

Kilobytes Sent( 发 送 千 字 节 总 数 ): 发 送 千 字 节 总 数 。 

Kilobytes Received( 接 收 千 字 节 总 数 ): 收 到 千 字 节 总 数 。 

注释 : 指出 选择 显示 所 有 注释 的 列表 ， 每 一 个 都 与 特定 的 会 话 相 关联 。 双 击 一 个 报告 显 
示 其 内 容 ， 如 图 7-12 所 示 。 

在 导航 窗 格 中 ，WebInspect 通常 只 显示 那些 揭示 网 站 层次 结构 的 会 话 ， 以 及 漏洞 会 被 发 
现 的 会 话 。 流 量 监控 器 选择 允许 显示 和 评估 每 个 HITP 请 求 发 送 的 WebInspect， 和 从 服务 器 
接收 到 HTTP 相关 的 啊 应 。 要 显示 此 选项 , 则 必须 选择 Enable Traffic Monitor Logging( 启 用 流 
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量 监控 日 志 )， 在 默认 设置 ( 单 击 Edit ,Default Settings( 编 辑 一 默认 设置 )， 然 后 ， 在 扫描 设置 
类 别 中 ， 选 择 General( 一 般 )， 如 图 7-13 所 示 。 


Scan Info 回国 scan Attachme 


Edt 的 View xX 
| hesociated With 


Description 


图 7-12 注释 列表 


7-13 流量 监控 


该 附件 选项 显示 所 有 已 添加 到 扫描 列表 的 会 话说 明 、 漏 洞 说 明 、 随 访 标志 和 漏洞 截图 。 
每 个 附件 都 与 一 个 特定 的 会 话 相关 联 。 此 外 还 列 出 了 扫描 说 明 (说 明 适 用 于 整个 扫描 , 而 不 是 
某 个 特定 的 会 话 )。 

用 户 可 以 创建 一 个 扫描 说 明 ， 或 者 编辑 或 删除 现 有 的 附件 。 

查看 附件 。 请 选择 附件 ， 然 后 单 击 View( 视 图 )( 或 直接 双击 附件 )。 

创建 一 个 扫描 说 明 。 单 击 Add( 添 加 ) 菜 单 (在 信息 显示 区 )。 

编辑 附件 。 选 择 附 件 ， 然 后 单 击 Edit( 编 辑 )。 注 意 ， 截 图 不 能 编辑 。 

可 通过 右键 单 击 Attachments( 附 件 ), 然后 从 快捷 菜单 中 选择 对 应 选项 也 可 以 选择 Go to 
session( 前 往 会 话 )， 这 将 打开 会 话 信息 附件 窗 格 ， 选 择 与 该 附件 相关 联 的 会 话 。 

要 选择 在 WebInspect 用 户 界面 的 其 他 区 域 创建 的 附件 ， 可 右键 单 击 导航 窗 格 中 的 会 话 ， 
然后 从 快捷 菜单 中 选择 附件 ， 或 右键 单 击 摘要 窗 格 中 漏洞 选项 卡 上 的 网 址 ， 然 后 从 快捷 菜单 
中 选择 附件 。 

此 功能 列 出 WebInspect 原本 标记 为 漏洞 的 所 有 URL， 但 后 来 用 户 确定 有 些 URL 是 误 
报 。 也 可 将 先前 的 分 析 作 为 误 报 的 扫描 漏洞 列表 进行 导入 。 然 后 在 当前 扫描 中 用 WebInspect 
关联 这 些 从 先前 漏洞 检测 到 的 扫描 ， 并 标 出 新 出 现 的 误 报 。 

1) 从 扫描 信息 面板 中 选择 False Positives( 误 报 )， 如 图 7-14 所 示 。 

2) 如 有 必要 ， 单 击 漏洞 描述 的 加 号 ， 以 显示 相关 的 URL 和 状态 。 

3) 单 击 一 个 URL 查看 评论 (位 于 信息 窗 格 的 底部 )。 
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Y “Edit Description 惫 Jmport False positives 


一 


BB HrpResponse Description 


图 7-14 误 报 


4) 要 从 其 他 扫描 导入 误 报 ， 单 击 Import Scans( 导 入 扫描 )。 

5) 要 更 改 误 报 并 返回 一 个 漏洞 ， 从 活动 误 报 列表 中 选择 一 个 条 目 ， 然 后 单 击 Mark as 
Vulnerability( 标 记 为 漏洞 )。 

6) 要 从 和 暂 无 误 报 列 表 中 删除 某 个 条 目 ， 选 择 该 条 目 ， 然 后 单 击 Remove From Inactive( 非 
活动 删除 )。 

7) 要 编辑 与 误 报关 联 的 注释 ， 选 择 该 条 目 ， 然 后 单 击 Edit Comment( 编 辑 评论 )。 

2. 会 话 信息 面板 

在 导航 窗 格 使 用 网 站 视图 或 序列 视图 ，WebInspect 列 出 每 个 会 话 期 间 创 建 的 扫描 ,选择 一 
个 会 话 ， 然 后 单 击 会 话 信息 面板 中 的 选项 之 一 ， 以 显示 有 关 会 话 相关 的 信息 ， 如 图 7-15 所 示 。 


Site 加 A Session vuinorabitiies: hap:/ /zaro 


局 conan 


图 7-15 会 话 信息 面板 


下 面 例子 的 扫描 中 ，WebInspect 发 送 HTTP 请 求 GET/stats/ HTTP/1.1。 要 查看 HITP 响 
应 ， 可 执行 以 下 步骤 。 

1) 在 导航 窗 格 中 选择 Stats html。 

2) 单 击 会 话 信 息 面板 中 的 Vulnerability( 漏 洞 )。 

表 7-4 列 出 了 在 会 话 信息 面板 中 可 用 的 选项 。 有 些 选 项 只 出 现在 特定 的 扫描 (向 导 扫描 、 
基础 扫描 或 Web 服 务 扫描 ) 中 。 此 外 ， 当 上 且 仅 当 它们 是 相关 的 所 选 会 话 , 才能 启用 选项 ; 例如 ， 
如 果 会 话 不 包含 表单 ，Forms( 表 单 ) 选 项 不 可 用 。 
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表 7-4 会 话 信息 面板 选项 


选 项 定义 
Vulnerability (漏洞 ) 显示 导航 窗 格 中 所 选 会 话 的 漏洞 信息 
Web Browser 
在 导航 窗 格 中 ， 通 过 Web 浏览 器 显示 服务 器 对 所 选 会 话 的 响应 
(Web 浏览 器 ) 
HITP Request 和 
显示 由 WebInspect 发 送 到 主机 要 扫描 的 目标 网 站 服务 器 的 原始 HITP 请 求 

(HTTP 请 求 ) 
显示 服务 器 原始 HITP 响应 的 WebInspect 请 求 。 如 果 响 应 包含 一 个 或 多 个 攻击 

TTPResponse。。 | 入 名 纪 示 一 个 泊 洒 发现 ) 可 单 击 按 钢 人 于 款 ， 款 沁 从 一个 攻击 仿 到 

i 下 一 个 攻击 信号 。 
注意 : 如 果 选 择 一 个 Flash(SWF) 文 件 ，WebInspect 可 以 显示 HIML， 而 不 是 二 
进 制 数 据 。 这 使 得 WebInspec 以 可 读 格式 显示 链接 
此 功能 的 设计 ， 可 支持 HP Fortify SecurityScope 安装 和 运行 在 目标 服务 器 上 。 

Se 对 于 某 些 检查 (如 SQL 注入 、 命令 执行 和 跨 网 站 脚本 ), SecurityScope 拦截 WebIns pect 

( 维 本 跟 中 的 HTTP 请 求 , 并 在 目标 模块 运行 时 进行 分 析 。 如 果 这 个 分 析 证 实 存在 一 个 漏洞 ， 
SecurityScope 追加 堆栈 来 跟踪 HTTP 响应 。 开 发 人 员 可 分 析 这 个 堆栈 跟踪 来 调 
查 需要 修复 的 区 域 

Details( 详 细 信息 ) 显示 请 求 及 响应 的 详细 信息 列表 ， 如 响应 程度 和 请 求 方法 

Comments( 评 论 ) 显示 所 有 慌 入 在 HTTP 响应 中 的 评论 

人 在 导航 窗 格 或 选择 的 URL 摘要 窗 格 中 ， 显 示 采 用 WebInspect 到 达 选 定 会 话 的 

二 明 路 线 。 从 父 会 话 (上 一 级 会 话 ) 开 始 ， 该 序列 包括 了 后 续 访 问 的 URL， 并 提供 了 
有 关 扫 描 方法 的 细节 

本 列 出 (在 链接 下) 目标 网 站 包含 的 全 部 所 选 链接 资源 。 可 以 通过 HTML 标签 、 脚 

《 链 搓 本 或 HIML 形式 呈现 这 些 链接 。 它 还 列 出 由 所 选 会 话 的 HITP 响应 的 链接 所 引 
用 的 所 有 资源 

Text( 文 本 ) 显示 包含 在 HTTP 响应 中 的 所 有 文本 

了 iddens( 隐 藏 ) 显示 每 个 输入 元 素 控制 类 型 的 名 称 是 “隐藏 

Forms( 表 格 ) 显示 通过 浏览 器 来 呈现 HTML 形式 的 解释 

E-mail( 电 子 邮 件 ) 显示 包含 在 响应 中 的 所 有 电子 邮件 地 址 

Scripts( 脚 本 ) 显示 嵌入 在 服务 器 响应 中 的 所 有 客户 端 脚本 
显示 攻击 序列 号 码 、_URL、 审 计 引擎 的 名 称 以 及 脆弱 性 (漏洞 ) 试 验 的 结果 。 如 果 

A 选择 重新 检查 , WebInspect 可 启动 HTTP 编辑 器 , 允许 用 户 重新 发 送 相 关 的 HTTP 
请 求 。 进 行 扫描 时 ， 此 功能 是 最 常用 的 ， 以 确定 是 否 该 漏洞 已 经 得 到 修正 。 

( 玫 击 信息 ) 


攻击 信息 通常 与 创造 该 攻击 的 会 话 (而 不 是 检测 到 的 会 话 ) 相 关联 ,如 果 攻 击 信息 
没有 出 现 所 选 脆弱 的 阶段 ， 选 择 上 一 级 会 话 
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( 续 表 ) 
选 项 定 义 
显示 所 有 注释 、 标 志和 与 所 选 对 象 相关 联 的 截图 。 
要 创建 注释 ， 用 户 可 以 : 
“右键 单 击 导航 窗 格 中 的 会 话 ， 然 后 从 弹出 的 菜单 中 选择 注释 
Attachment Ce 的 漏洞 选项 卡 上 的 URL， 然 后 从 弹出 菜单 中 选择 注释 。 
(附件 ) 首先 选择 导航 窗 格 中 的 会 话 ， 然 后 选择 会 话 信息 面板 注释 ， 继 而 单 击 添加 菜单 
(信息 汪 格 由。 
只 要 向 惠普 质量 中 心 或 BM Rational ClearQuest 发 送 一 个 缺陷 , WebInspect 会 自 
动 给 会 话 信息 添加 一 条 注释 
XML Request = i Ey 
i 显示 嵌入 在 请 求 (在 Web 服务 评估 选择 的 WSDL 对 象 时 可 用 ) 中 的 XML 架构 
(XML 请 求 ) 
2 显示 相 入 在 响应 (在 Web 服务 评估 选择 的 WSDL 对 象 时 可 用 ) 中 的 XML 架构 
(XML 响应 ) 
Web Service 
Request 显示 Web 服务 架构 和 霸 入 的 请 求 值 (在 Web 服务 扫描 中 可 用 ) 
(Web 服务 请 求 ) 
Web Service 
Response 显示 Web 服务 架构 和 嵌入 的 响应 值 (在 Web 服务 扫描 中 可 用 ) 
(Web 服务 响应 ) 


大 多 数 选项 在 信息 窗 格 项 部 提供 了 搜索 功能 ， 方 便 用 户 找到 指定 的 文本 。 


要 使 用 正则 表 


达 式 进行 搜索 ， 单 击 Find( 查 找 ) 之 前 选择 Regex( 正 则 表达 式 ) 选 项 。 


注意 : 
3. 主机 信息 面板 


当 单 击 可 折 竺 
发 现 该 


查看 漏洞 信息 时 ， 如 果 要 打开 链接 ， 请 在 导航 窗 格 中 单 击 突出 


玄 条 目 类 型 的 所 有 实例 。 


显示 的 会 话 。 


面板 中 列 出 的 任意 条 目 ，WebInspect 显示 网 站 (或 主机 ) 疏 行 或 审计 过 程 中 


例如 ， 如 图 7-16 所 示 ， 用 户 选择 主机 信息 面板 中 的 Cookie， 


WebInspect 将 列 出 Cookie 的 所 有 会 话 。 表 7-5 列 出 了 主机 信息 面板 选项 。 


表 7-5 主机 信息 面板 选项 


选 项 定 义 
E-mails( 电 子 邮 件 ) WeblInspect 列 出 在 扫描 过 程 中 发 现 的 所 有 电子 邮件 地 址 
Formms( 表 单 ) WebInspect 列 出 在 扫描 过 程 中 发 现 的 所 有 HIML 表单 


P3P Info(P3P 信息 ) 


万 维 网 联盟 的 个 人 隐私 安全 平台 项 目 (P3P) 用 网 站 的 标准 格式 来 阐述 常见 的 个 人 
隐私 ， 用 户 代理 可 自动 检索 且 容易 理解 。P3P 用 户 代理 允许 用 户 在 已 知 网 站 进行 
操作 (在 机 器 和 人 类 的 可 读 格 式 下 ), 在 适当 的 时 候 基于 这 些 操作 进行 自动 化 决策 。 
因此 ， 用 户 可 以 不 必 查 看 他 们 访问 每 个 网 站 的 隐私 策略 。P3P 官方 网 站 声明 了 一 
个 关于 如 何 收集 和 使 用 这 些 信息 的 方案 。 支 持 P3P 的 Web 浏览 器 可 以 通过 这 一 
方案 与 用 户 的 存储 偏好 相 比 较 来 决定 该 怎么 做 .例如 , 用 户 可 以 设置 浏览 器 偏好 ， 
以 便 他 们 浏览 习惯 的 信息 不 被 收集 。 当 用 户 在 随后 访问 网 站 的 策略 中 规定 一 个 
Cookie 被 用 于 此 目的 时 ， 浏 览 器 会 自动 拒绝 该 Cookie 
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( 续 表 ) 
定 义 


AJAX 


AJAX 是 异步 JavaScript 和 XMLHttpRequest 的 缩写 .如 果 选 择 此 选项 , WebInspect 
可 以 显示 包含 一 个 AJAX 引擎 的 所 有 页 面 ， 以 及 AJAX 请 求 。AJAX 并 不 是 技术 
本 身 ， 而 是 结合 现 有 技术 ， 包 括 HTML 或 XHTML、CSS 样式 表 、JavaScript、 
文档 对 象 模型 、XML、XSLT 和 XMLHttpRequest 对 象 的 组 合 。 当 这 些 技术 结合 
在 AJAX 模型 中 ，Web 应 用 程序 都 能 够 快速 、 增 量 式 更 新 浏览 器 的 用 户 界面 ， 而 
不 必 重 新 加 载 整个 页 面 


AJAX 


Certificates( 证 书 ) 


Comments( 评 论 ) 


Hiddens( 隐 藏 ) 


Cookies 


Scripts( 脚 本 ) 


Broken Links( 断 开 
的 链接 ) 


而 不 是 在 会 话 开始 加 载 一 个 网 页 ， 浏 览 器 首先 加 载 AJAX 引擎 ， 以 便 呈 现 用 户 界 
面 ， 以 及 与 服务 器 通信 。 每 个 用 户 操作 ， 通 常会 产生 一 个 HITP 请 求 ， 它 需要 有 
AJAX 引擎 的 JavaScript 来 代替 ， 而 不 需要 与 服务 器 (如 简单 的 数据 校 验 ， 内 存 中 
的 数据 编辑 ， 甚 至 一 些 导航 ) 通 信 ， 因 此 用 户 动作 的 任何 响应 都 由 引擎 处 理 。 如 
果 引 擎 需要 与 服务 器 通信 一 提交 数据 进行 处 理 ， 加 载 额 外 的 界面 代码 ， 或 者 获 
取 新 数据 一 一 引擎 通常 使 用 XML 让 这 些 请 求 异 步 发 送 

证 书 指出 ， 一 个 特定 的 网 站 是 安全 的 和 真实 的 。 它 确保 没有 其 他 网 站 可 以 伪造 原 
始 安全 网 站 的 标识 。 当 通过 Intemet 发 送 个 人 信息 时 ， 用 户 应 该 检查 该 网 站 的 证 
书 ， 以 确保 它 会 保护 个 人 身份 信息 。 当 从 网 站 下 载 软件 时 ， 证 书 验证 该 软件 是 否 
来 自 一 个 已 知 的 可 靠 来 源 。 

证 书 与 公 钥 的 身份 相关 联 。 该 证 书 只 有 拥有 者 知道 相应 的 私有 密 钥 ， 这 使 得 拥有 
者 可 以 做 一 个 “数字 签名 ”或 使 用 相应 的 公 钥 加 解密 信息 

通常 情况 下 ， 开 发 人 员 在 注释 中 留 下 的 重要 信息 ， 可 能 会 破坏 网 站 的 安全 性 
WebInspect 分 析 所 有 形式 ， 然 后 列 出 类 型 为 “隐藏 ”( 即 控制 那些 没有 渲染 ， 但 
其 值 用 表单 提交 ) 的 所 有 控件 。 开 发 人 员 通 常 使 用 的 参数 隐藏 控件 可 被 攻击 者 编 
辑 后 重新 提交 

Cookie 包含 存储 在 客户 端 上 以 供 将 来 交互 的 信息 (如 用 户 首选 项 或 配置 信息 )。 
Cookie 存在 两 种 基本 形式 : 作为 单独 文件 或 者 是 一 个 连续 的 文件 记录 。 通常 是 多 
个 被 安装 在 不 同位 置 的 浏览 器 产生 信息 的 集合 。 许 多 情况 下 “被 遗忘 的 ”Cookies 
包含 用 户 不 希望 别人 看 到 的 信息 。 

脚本 是 基于 浏览 器 中 的 输入 请 求 ， 在 服务 器 上 运行 和 处 理 的 程序 。WebInspect 可 
跟踪 每 个 脚本 ， 运 行 并 列 出 信息 选项 卡 上 的 所 有 脚本 


WebInspect 可 发 现 并 记录 网 站 上 的 所 有 处 于 非 工作 状态 的 超 链接 


Offsite Links 
(异地 链 鬼 


WebInspect 可 发 现 并 记录 所 有 到 其 他 网 站 的 超 链接 


Parameters( 人 参数 ) 


WebInspect 可 发 现 并 记录 在 扫描 过 程 中 遇 到 的 所 有 参数 。 参数 是 在 HITP 请 求 中 
提交 的 URL 的 一 部 分 查询 字符 串 或 者 使 用 POST 方法 提交 的 数据 
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双击 列表 中 的 条 目 ，WebInspect 可 在 导航 窗 格 中 突出 显示 包含 该 条 目的 会 话 。 用 户 可 通 
过 突出 显示 文本 ， 从 快捷 菜单 中 选择 Copy( 复 制 ) 将 条 目 (如 电子 邮件 地 址 ) 复 制 到 剪贴 板 。 

注意 : 在 进行 Web 服务 扫描 时 ， 主 机 信息 面板 不 显示 。 

大 多 数 情况 下 ， 用 户 可 在 信息 窗 格 项 部 使 用 搜索 功能 找到 指定 的 文本 。 要 使 用 “正则 表 


达 式 ”进行 搜索 ， 单 击 Find( 查 找 ) 之 前 选择 Regex( 正 则 表达 式 ) 选 项 。 
Sm 颌 Host cookies: http:/ /zero.webappsecurity.com:80 (177) 


Host Info 
Wp3p Info 
Banx 
[Ocertificates 
局 Commens 
E-mails 
Dfoms 
入 Hiddens 
Dscips 
(MBrokenLins 
(BoffsiteLins 
Parameters 


7.2.4 ”摘要 窗 格 


在 进行 或 查看 扫描 时 ， 使 用 位 于 窗口 底部 的 水 平 摘要 窗 格 ， 可 显示 发 现 的 全 部 漏洞 。 
从 而 可 以 快速 访问 漏洞 信息 和 查看 WebInspect 记录 信息 。 此 窗 格 有 六 个 选项 卡 ， 如 图 7-17 


所 示 。 


httpylero webappsecurky com80fbankogn asplem=jmakd%20Logn' 
http:/feero.webappsecurty.com:80jbarkogn.asp?err=Invald%20L ogn:%20 
http://zero.webappsecurty.com:80/jon.asp 


:status=yes; path=/ 

: usernameshdain; path=/ 

5 userid=adainy pach=/ 

: sessionid=CICO06CBIFIBSB111?4D2CaABSE7AASOO01; path=/ 
et -Cookie: 


ASPSESSIONIDCCTORBSD=RLACDIOCFHNCIFDIDFDGNEAE; path=/ 


图 7-16 主机 信息 面板 中 的 Cookie 


Type Mer crear a- 避 网 加 
Method VulnParam Parameters | Kingdom Application 

GE searchTem (Queryjsear.. InputValidation and Representation 

POST name (Postjname=. Input Validation and Representation 

Ed - Erors 


图 7-17 摘要 窗 格 的 6 个 选项 卡 


e 漏洞 (Vulnerabilities) 

e 未 发 现 (Not Found) 

e 信息 (Information) 

e 最 佳 实践 (Best Practices) 
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e 扫描 日 志 (ScanLog) 
e 服务 器 信息 (Server Infonmation) 


用 户 可 在 除了 扫描 日 志 的 所 有 选项 卡 上 进行 分 组 和 结果 过 滤 。 
1. 漏洞 选项 卡 
该 漏洞 选项 卡 列 出 了 审计 期 间 在 网 站 上 发 现 的 所 有 漏洞 。 
如 果 要 选择 显示 的 信息 ， 从 快捷 菜单 中 右键 单 击 列 标题 栏 选择 Columns( 列 )， 如 图 7-18 
所 示 。 
可 用 列 如 下 : 
e ”严重 性 (Severity): 该 漏洞 的 相对 评价 ， 从 低 到 高 。 请 参阅 下 面 的 相关 图 标 。 
。 检查 (Check): WebInspect 可 探测 特定 的 漏洞 , 例如 跨 网 站 脚本 , 未 加 密 的 日 志 通 知 等 。 
。 检查 ID(Check ID): WebInspect 探头 用 于 检查 特定 漏洞 存在 的 标识 号 。 例 如 ， 检 查 编 
号 742 测试 数据 库 服 务 器 的 错误 消息 。 
e 路径 (Path): 分 层 路 径 资 源 。 
e 方法 (Method): 用 于 攻击 的 HITP 方法 。 
堆栈 (Stack): 从 HP Fortify Software 安全 中 心 获得 的 堆栈 跟踪 信息 。 此 列 仅 当 
SecurityScope 在 扫描 过 程 中 启用 。 
漏洞 参数 (Vuln Param): 有 漏洞 的 参数 名 称 。 
参数 (Parameters): 分 配 的 参数 和 值 名 称 。 
发 布 状态 (Published Status): 存在 于 软件 安全 中 心 以 前 发 布 的 状态 。 
挂 起 状态 (Pending Status:): 该 扫描 还 没有 发 布 的 状态 (由 WebInspect 手动 或 自动 分 配 )。 
手动 (Manual): 如 果 该 漏洞 被 手动 创建 ， 显 示 一 个 复 选 标记 。 
重复 (Duplicates): 通过 SecurityScope 检测 到 的 漏洞 可 以 追溯 到 同一 个 源头 。 
地 点 (Location): 路 径 和 揭示 漏洞 的 数据 。 
CWE ID: 与 漏洞 相关 的 共同 脆弱 性 的 枚 举 标识 符 ( 次 )。 
领域 (Kingdom): 在 这 个 漏洞 被 归 类 时 ， 使 用 Fortify Software 安全 研究 小 组 开发 的 软 
件 安全 性 错误 的 分 类 类 别 。 
单 击 超 链 接 导 航 到 http://www.hpenterprisesecurity.com/vulncat/en/vulncat/index.html。 


BB Severity: Critical Oa 
9 Group by Box 


rr 


hrtp://mysal-win2ks 


es 

http-//mysql-win2k57noresasp 一 一 一 v Method 

日 Check-Cross-Site Scripting (1 tem) Y Vuin Param 

Y Parameters 
Manual 
Location 
CWEID 


hrtp://mysal-win2k3/Pugnose/secure_edit asp 
Check-Database Server Error Message (14 items) 

http:/fmysal-win2k3/Search/Trainingsite/product_! 

hrtp:/fmysal-win2k3/Search/TrainingSite/notes.asp 


图 7-18 漏洞 选项 卡 右键 快捷 菜单 
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重复 性 (Reproducible): 值 可 以 被 复制 。 此 列 仅 适用 于 网 站 的 重复 试验 (验证 漏洞 )。 


漏洞 的 严重 程度 由 以 下 图 标 表 示 ， 如 图 7-19 所 示 。 


Criical High Medium 


Low 
六 |@|9|9 


图 7-19 ”漏洞 的 严重 程度 


如 果 单 击 列表 中 的 一 个 条 目 ， 信 息 窗 格 中 的 相关 信息 以 及 会 话 会 突出 显示 出 来 。 
选中 会 话 ， 也 可 以 通过 从 会 话 信息 面板 中 选择 一 个 选项 ， 查 看 相关 信息 。 

对 于 发 送 和 查询 参数 ， 单 击 参数 列 中 的 条 目 ， 将 显示 该 参数 的 一 个 更 可 读 的 概要 。 
用 鼠标 右键 单 击 列表 中 的 条 目 ， 会 显示 下 面 列表 中 所 描述 命令 的 快捷 菜单 。 


使 有 


快捷 菜单 ， 右 键 单 击 漏洞 选项 卡 上 的 漏洞 描述 ， 用 户 可 以 : 


复制 网 址 (Copy URL): 复制 网 址 到 Windows 剪贴 板 。 

复制 选择 条 目 (Copy Selected Item(s)): 复制 选 定 的 条 目 到 Windows 剪贴 板 中 的 文本 。 
复制 所 有 条 目 (Copy All Items): 复制 所 有 的 条 目 到 Windows 剪贴 板 中 的 文本 。 

导出 (Export): 创建 一 个 逗号 分 隔 值 (CSV) 文 件 ， 其 中 包含 所 有 或 选 定 条 目 ， 并 在 
Microsoft Excel 中 显示 。 

在 浏览 器 中 查看 (View in Browser): 在 浏览 器 中 呈现 HITP 响应 。 

当前 值 的 过 滤器 (Filter by Curent Value): 限制 那些 满足 选择 标准 显示 的 漏洞 。 例 如 ， 
如 果 在 Post 方法 列 单 击 鼠 标 右键 ,然后 选择 Filter by Current Value， 列 表 中 只 显示 那 
些 通过 使 用 POST 方法 发 送 的 被 发 现 的 HTTP 请 求 漏洞 。 

更 改 发 布 状态 (Modify Publish Status): 发 布 到 HP Fortify Software 安全 中 心 之 前 可 以 
更 改 漏洞 /问题 的 状态 。 只 有 当 连 接 到 WebInspect Enterprise， 该 命令 才 可 用 。 

更 改 严重 性 (Change Severity): 允许 更 改 严重 性 级 别 。 

编辑 漏洞 (Edit Vulnerability): 允许 添加 、 删 除 或 编辑 与 选 定 会 话 相 关 的 漏洞 。 

审阅 漏洞 Review Vulnerability): 重新 测试 漏洞 会 话 ， 将 其 标记 为 误 报 或 忽视 ， 或 将 
其 发 送 到 HP 质量 中 心 或 TBM Rational ClearQuest。 

标记 为 (Mark As): 允许 作为 误 报 标记 漏洞 或 忽略 。 要 查看 误 报 ， 在 扫描 信息 面板 中 
选择 误 报 。 查 看 忽略 的 漏洞 ， 在 扫描 信息 面板 中 选择 对 象 ， 单 击 删 除 条 目 中 相关 联 
的 数字 ， 当 恢复 已 删除 条 目 窗口 出 现 ， 从 下 拉 列 表 中 选择 漏洞 。 

发 送 到 (Send To): 转换 该 漏洞 的 缺陷 ， 并 将 其 添加 到 HP 质量 中 心 或 BM Rational 
ClearQuest 数据 库 。 

删除 位 置 (Remove Locatiom): 从 导航 窗 格 中 删除 会 话 。 注 意 : 用户 可 恢复 删除 的 会 话 。 
怜 行 (CrawD: 疏 行 选 定 的 URL。 

工具 (Tools): 介绍 可 用 工具 的 子 菜单 。 

附件 (Attachments): 允许 创建 与 选 定 会 话 相关 的 说 明 ， 标 志 会 话 跟 进 ， 添 加 一 个 漏洞 
说 明 ， 或 添加 一 个 漏洞 快照 。 


如 果 右键 单 击 一 个 组 标题 ， 通 过 一 个 快捷 菜单 可 以 进行 如 下 操作 ; 
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折 县 /展开 所 有 组 (Collapse/Expand All Groups) 
折 县 /展开 组 (Collapse/Expand Group) 
复制 选 定 的 条 目 (Copy Selected Item(s)) 
复制 所 有 条 目 (Copy All Items) 
更 改 严重 性 (Change Severity) 
标记 为 (Mark as) 
发 送 到 (Sendto) 
删除 位 置 (Remove Location) 

WebInspect 可 从 导航 窗 格 (在 这 两 个 网 站 和 序列 视图 ) 和 摘要 窗 格 中 的 Vulnerability 选项 

卡 中 删除 条 目 。 它 也 忽略 了 这 些 条 目的 任何 报告 。 删除 的 条 目 数量 会 显示 在 仪表 板 上 (在 扫描 

类 别 下 )。 用 户 可 利用 下 面 的 过 程 恢复 删除 的 会 话 和 忽略 的 漏洞 。 

1) 单 击 出 现在 删除 条 目标 题 附近 突出 显示 的 数目 。 恢 复 已 删除 条 目 窗口 显示 删除 会 话 或 
删除 漏洞 列表 。 

2) 单 击 下 拉 列 表 在 忽略 漏洞 和 删除 会 话 之 问 进行 切换 。 

3) 选中 要 恢复 一 个 或 多 个 条 目的 复 选 框 。 

4) 要 查看 时 选择 条 目的 详细 信息 ， 选 择 Show details when selected( 显 示 详 细 信息 )。 

5) 当 系统 提示 用 户 确认 选择 时 ， 单 击 Recover( 恢 复 )， 然 后 单 击 Yes。 

恢复 漏洞 重新 出 现在 导航 窗 格 中 网 站 和 序列 视图 上 (连同 他 们 的 父 会 话 )， 也 重新 出 现在 
摘要 窗 格 中 Vulnerabilities( 漏 洞 ) 选 项 卡 上 。 在 导航 窗 格 中 恢复 会 话 也 随 着 子 会 话 和 他 们 的 漏 
洞 再 次 出 现 。 

进行 扫描 后 ， 报 告 会 发 现 漏洞 ， 开 发 者 可 以 纠正 他 们 的 代码 并 更 新 网 站 。 然 后 ， 用 户 可 
打开 原始 扫描 ， 选 择 历 史 漏 洞 会 话 (once-vulnerable session， 也 可 称 为 修复 )， 然 后 从 快捷 菜单 
中 选择 Review Vulnerability( 审 阅 漏洞 )。 假 设 该 网 站 的 基本 架构 并 没有 改变 , 则 不 必 重 新 扫描 
整个 网 站 ( 某 些 情况 下 ， 可 能 需要 几 个 小 时 甚至 几 天 )， 用 户 验 证 的 威胁 也 不 再 存在 。 

使 用 此 功能 只 是 为 了 再 次 检查 报告 的 漏洞 ， 即 使 扫描 仍 在 运行 中 也 可 以 进行 检查 。 

1) 从 导航 窗 格 (或 右键 单 击 摘要 窗 格 的 漏洞 选项 卡 上 的 URL) 右 键 单 击 一 个 漏洞 会 话 。 

2) 从 快捷 菜单 中 选择 Review Vulnerability( 审 阅 漏洞 )。 打 开 审 阅 漏洞 窗口 。 

3) 如 果 要 通过 Web 代理 服务 器 来 访问 网 站 , 单 击 Options( 选 项 ), 选择 Launch and Direct 
Traffic through Web Proxy(Web 代理 启动 和 直接 流量 )。 

4) 如 果 有 多 个 安全 漏洞 与 选 定 会 话 相 关联 ， 从 Vulnerabilities to Test( 测 试 列表 ) 列 表 选 择 


EE 


一 个 。 
5) 使 用 右 侧 客户 区 的 选项 卡 以 显示 有 关 原始 (original) 会 话 信息 (如 在 URL 列 下 的 低 窗 格 
中 选 定 ): 

浏览 器 : 服务 器 的 响应 ， 如 在 浏览 器 中 呈现 。 

请 求 ; 原始 的 HTTP 请 求 消息 。 

响应 :原始 的 HITP 响应 消息 。 

漏洞 : 漏洞 说 明 ， 影 响 和 建议 如 何 解决 此 漏洞 。 

6) 要 重新 测试 选 定 漏洞 的 会 话 ， 单 击 Retest( 重 新 测试 )。 
重新 测试 的 结果 显示 在 状态 栏 和 Response Match Status( 咱 应 匹配 状态 ) 列 下 方 的 窗 格 中 。 
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状态 报告 为 “Vulnerability<VulnerabilityName>Detected” 或 “Vulnerability <Vulnerability 
Name> Not Detected。” 

所 报告 结果 的 可 靠 性 由 响应 匹配 状态 决定 ， 可 具有 以 下 值 : 

匹配 QMatch): 资源 并 没有 显著 改变 ; WebInspect 能 通过 使 用 原来 路 径 相 同 的 扫描 来 访问 
会 话 。 

无 结论 (Inconclusive): 基于 HTTP 响应 ， 该 资源 用 可 能 (或 不 可 能 ) 的 方式 来 标识 漏洞 重 
新 检测 过 程 中 有 或 没有 检测 到 改变 。 

不 同 (Differenb: HITP 响应 与 从 原始 扫描 过 程 中 接收 到 的 响应 是 完全 不 同 的 ， 提 示 资 源 
发 生 重大 变化 。 

7) 如 果 用 户 认为 WebInspect 错误 地 判断 了 漏洞 存在 ， 可 通过 单 击 Mark as False Positive 
(标记 为 误 报 ) 标 出 漏洞 。 

8) 要 忽略 漏洞 ， 单 击 Mark as( 标 记 为 )， 然 后 从 下 拉 列 表 中 选择 Ignored( 忽 略 )。 

9) 要 转换 一 个 或 多 个 漏洞 的 缺陷 ， 并 将 其 添加 到 惠普 质量 中 心 或 IBM Rational 
ClearQuest 数据 库 ， 单 击 Send To( 发 送 到 )。 


前 如 果 从 漏洞 比较 窗口 中 访问 漏洞 审阅 窗口 ，Mark As (标记 为 ) 和 Send To (发 送 到 ) 
类 按钮 未 启用 。 
2. 未 发 现 选项 卡 


只 有 当 WebInspect 连接 到 WebInspectEnterprise 或 评估 管理 平台 (AMP)， 此 标签 才 有 密 
切 关 系 ， 目 的 是 用 于 同步 和 上 传 漏洞 数据 到 HP Fortify Software 安全 中 心 。 它 列 出 了 一 个 特 
定 的 条 目 版 本 ， 这 个 版 本 是 以 前 扫描 检测 到 的 漏洞 ， 而 不 是 由 当前 扫描 检测 到 的 。 这 些 漏洞 
未 被 记录 在 仪表 板 的 计数 中 ， 也 未 出 现在 导航 窗 格 中 的 网 站 或 序列 视图 中 。 

在 快捷 菜单 中 的 选项 ， 分 组 和 筛选 功能 与 Vulnerabilities( 漏 洞 ) 选 项 卡 中 的 描述 相同 。 

3. 信息 选项 卡 


信息 选项 卡 列 出 了 WebInspect 评估 或 怜 行 过 程 中 发 现 的 信息 。 这 些 不 被 视 为 安全 漏洞 ， 
而 是 在 网 站 、 某 些 应 用 程序 或 Web 服务 器 识别 的 关注 点 。 单 击 列 出 的 URL， 该 程序 突出 显 
示 了 导航 窗 格 中 的 相关 条 目 。 

在 快捷 菜单 中 的 选项 ， 分 组 和 筛选 功能 与 Vulnerabilities( 漏 洞 ) 选 项 卡 中 的 描述 相同 。 

4. 最 佳 实践 选项 卡 

WebInspect 检测 出 的 最 佳 实践 选项 卡 列表 问题 涉及 被 Web 开发 者 共同 接受 的 最 佳 实践 。 
这 里 列 出 的 条 目 不 是 漏洞 ， 而 是 整体 网 站 质量 和 网 站 开发 的 安全 实践 (或 缺乏 ) 指 标 。 

在 快捷 菜单 中 的 选项 ， 分 组 和 筛选 功能 与 Vulnerabilities( 漏 洞 ) 选 项 卡 中 的 描述 相同 。 

5. 扫描 日 志 选 项 卡 


使 用 Scan Log( 扫 描 日 志 ) 选 项 卡 以 查看 有 关 WebInspect 评估 行为 的 信息 。 比 如 ， 应 用 于 
针对 网 站 存在 的 特定 审计 方法 的 时 间 将 在 这 里 列 出 。 用 户 可 在 应 用 程序 设置 窗口 中 使 用 
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Logging( 日 志 ) 记 录 选 项 选择 日 志 记录 级 别 (调试 、 信 息 、 警 告 、 错 误 或 致命 )， 如 图 7-20 所 示 。 


器 QEerror Warnings @Messages | Jd Detail 
Time Level Message a 
56/27/2012 8:19:25 AM Info Scan Start, ‘Version:9.30.43.0, Locarion:C- 一 | 
6/27/2012 8:21:15 AM Info Scanner Retry Start: 
6/27/2012 8:21:15 AM Info Scanner Retry Stop: .| 
6/27/2012 8:21:16 AM Into Recommendation Modules Started: 
6/27/2012 8:21:16 AM Into Starting Recommendation Module: Web Macro- 
6/27/2012 8:21:16 AM Info Starting Recommendation Module: Nerwork Authentication 
6/27/2012 8:21:16AM Info Starting Recommendation Module: File Not Found: 
6/27/2012 8:21:16 AM Info Completed Recommendation Module- File Not Found: 
6/27/2012 8:21-:16 AM Info Completed Recommendarion Module- Network Authentication 
6/27/2012 8:21:16AM Info Starting Recommendation Module: Web Service:- 一 
大 VuInerabilities | 了 Not Found | @ Information | 回 Best Practices | {3 Scan Log | 虽 Server Information 


图 7-20 扫描 日 志 选 项 卡 


6. 服务 器 信息 选项 卡 
这 个 选项 卡 列 出 关注 的 相关 服务 器 条 目 。 这 里 仅 列 出 一 个 条 目 或 事件 的 发 生 。 


1) 使 用 过 滤器 
用 户 可 查看 符合 以 下 指定 两 种 方法 之 一 的 条 目的 子 集 : 
。 在 窗 格 的 右上 角 使 用 组 合 框 输入 筛选 条 件 。 


单 击 过 滤 标 准 框 ， 然 后 按 Ctrl + 空格 键 可 查看 所 有 可 用 的 过 滤器 条 件 的 弹出 列表 ， 
然后 输入 该 标准 的 值 。 


e 右键 单 击 任 一 列 的 值 ， 并 从 快捷 菜单 中 选择 Filter by Current Value( 当 前 值 过 滤器 )。 
这 种 过 滤 能 力 适用 于 所 有 摘要 窗 格 中 的 选项 卡 ， 除 了 Scan Log( 扫 描 日 志 )。 
在 下 面 的 例子 中 ， 第 一 个 画面 显示 了 漏洞 选项 卡 上 未 过 滤 的 条 目 。 第 二 个 画面 显示 过 滤 
条 件 中 的 “Method:Get”。 
无 过 滤 条 件 ， 如 图 7-21 所 示 。 


ecvery <] 、 Type er rteria.. QQ 加 人 引 


ea 
Path Method | Vuln Param Parameters Pending Status Published Status 
hrp://zero.webappsecurity. com/test/cgizip GET = 9 unnowm None 
加 CheckcCross-Site Scripting (36 items) 
hrtp://zero webappsecurity comyaccbrferconfirm asp 。 POST 。 fromAcct (Postjtrom— PP Unnown None 
hrtp://zero webappsecurity.com/accuderconfirm.asp POST 。 amount (posifrom -他 unknown None 
hrtp-//zero webappsecurity comy/accbdferconfirm asp 。 POST 。 toAcct (Postifrom 他 Uninown None 
http:/ /zero.webappsecurity.com/banklogin.asp GET er (Quemy)err_ ? Unknown None 
hrtp://zero.webappsecurity.com/cookietest/ShowCook... GET - ? Unknown None 


Oi SNe iond| Omormaton | Poe Pracices | ocaniog Oooer momaton] | 
图 7.21 漏洞 选项 卡 上 无 过 滤 条 件 


过 滤 条 件 : Get， 如 图 7-22 所 示 。 
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ee ] Method:Get * "的 EE 
ey | [hea 
Pam Methoa VunParam Parameters PendineStatus PublishedStatus 
|B Severity @ critaal (54 tems) 
Chedk-Bacup Fie (cg zip) (3 ems) 
hetp-//zero webappsecurity com/admin/cgi zip GET - Uninown None 
herp-//zero webappsecurity cormycsizip GET - ? Unknown None 
http://zero.webappsecurity.com/test/cgizip GET - 了 uninown None 
GB Check-Cross-Site Scripting (25 tems} 
hatp//zero webappsecurity com/bankiogin asp GT er (Queyerr— TF Unknown None 
hap//zero webappsecurity comycookietes/ShowCook GET - TUnnowm None = 
| Of Vuinerabilities | 了 Not Found | @ Information | Best Practices | 四 Scan Log | 克 Server Information 


图 7-22 ”漏洞 选项 卡 上 有 过 滤 条 件 : Get 
请 注意 ， 过 滤 条 件 (方法 : Get) 出 现在 组 合 框 ， 其 中 也 包含 了 红色 的 义 。 单 击 它 来 去 除 过 


滤 和 返回 到 原来 列表 。 

在 过 滤 组 合 框 中 键入 条 件 时 指定 多 个 过 滤 条 件 ， 插 入 过 滤 条 件 之 间 用 逗号 隔 开 (如 参数 : 
noteid， 方 法 : GET)。 

筛选 条 件 : 可 输入 以 下 标识 : 
检查 (check): 检查 名 称 ; 
Cookienamerp: HTTP 响应 中 的 Cookie 名 称 ; 
cookienamerq: HTTP 请 求 中 的 Cookie 名 称 ; 
cookievaluerp: HTTP 响应 中 的 Cookie 值 ; 
cookievaluerq: HTTP 请 求 中 的 Cookie 值 ; 
重复 (duplicates): 通过 SecurityScope 重复 检测 ; 
filerq: HTTP 请 求 文件 名 和 扩展 名 ; 
headermamerp: HTTP 响应 头 名 ; 
heademamerq: HTTP 请 求 报头 名 ， 
headervaluerp: HTTP 响应 头 值 ; 
headervaluerq: HTTP 请 求 头 值 ; 
位 置 (location): 路 径 加 上 参数 识别 资源 ; 
手动 (manual): 一 个 位 置 手动 添加 (语法 手册 : Tme， 或 手动 : False); 
方法 (method): HTTP 方法 GET，POST); 
methodrq: 在 HTTP 请 求 中 指定 的 方法 ; 
参数 (parameters): 在 HTTP 请 求 中 指定 的 参数 ; 
路 径 (path): 路 径 识别 资源 (不 带 参 数 ); 
Rawrp: 原始 HTTP 响应 ; 
Rawrq: 原始 HTTP 请 求 ; 
sessiondataid: 会 话 数 据 的 标识 符 ; 
e 严重 性 (severity): 分 配给 一 个 漏洞 (关键 ， 高 ， 中 ， 低 ) 的 严重 性 ; 
e， 栈 (stacl): 通过 SecurityScope 返回 堆栈 跟踪 (语法 是 堆栈 : True 或 堆栈 : False); 
e@ StatusCode: HTTP 状态 代码 ; 
e Typerq: 请 求 的 类 型 ，query、post 或 SOAP; 
e。 Vparam: 该 漏洞 参数 。 


第 7 章 WebInspect 应 用 实践 。221。 


2) 使 用 组 

用 户 可 将 条 目 转换 为 基于 列 标题 的 类 别 。 要 做 到 这 一 点 ， 在 窗 格 的 项 部 只 需 拖 动 标题 
并 拖 放 到 分 组 区 域 。 图 7-23 中 的 漏洞 是 先 通 过 风险 、 然 后 按照 名 称 字 母 顺 序 进行 的 分 组 。 

如 果 右 键 单 击 列 标题 ，WebInspect 可 以 显示 下 列 快捷 菜单 : 

e 领域 分 组 (Group by Field): 根据 所 选择 的 领域 将 漏洞 分 组 。 

。 框 分 组 (Group by Box): 显示 “分 组 依据 ”区 域 中 ， 用 户 可 以 通过 列 标题 进行 分 组 。 

e 列 (Columns): 允许 选择 显示 哪 一 列 。 

e 另存 为 默认 视图 (Save as Default View): 保存 当前 的 分 组 模式 作为 默认 视图 并 全 部 


扫描 。 
IE J Type /er criteria. Qv 加 后 上 
一 
Path Method |，Vuln Param Parameters Pending Status 。 | Published Stat 
Check-Backup File (cgizip) (3 items) 
http://zero webappsecurity com/admin/cgizip GET - 7 了 Unknown None 
http://zero.webappsecurity.com/ceizip GET = Unknown None 
hrp://zero.webappsecurity.com/test/cgi.zip GET = 了 unknown None 
Check:Cross-Site Scripting (36 items) 
http://zero webappsecurity com/accbxferconfirm asp POST fromAcct (Postfrom FP Unknown None 
hrtp://zero -webappsecurity com/accbderconfirm asp POST amount (Postjfrom 他 Unknown None 
4 加 | 


Vuinerabilities | 了 Not Found | @ Information | 四 Best Practices | 四 Scan Log | 晶 Server Information | 
图 7-23 选中 漏洞 


。 重 置 默认 视图 (Reset Default View): 恢复 分 组 范式 到 初始 化 的 默认 视图 。 
e 恢复 出 厂 设置 (Reset Factory Settings): 恢复 分 组 范式 到 原始 视图 模式 (严重 性 > 检查 )。 


7.2.5 “Weblnspect 工具 栏 


WebInspect 窗口 包含 两 个 工具 栏 : 扫描 和 标准 。 用户 可 通过 选择 View 一 Toolbars( 视 图 一 
工具 栏 ) 显 示 或 隐藏 任何 工具 栏 。 
表 7-6 列 出 了 WebInspect 扫描 工具 栏 上 的 可 用 按钮 。 


表 7-6_ 扫描 工具 栏 按钮 
按钮 


> Start | Resume 


功 能 
用 户 可 以 暂停 扫描 ， 然 后 继续 扫描 。 此 外 ， 完 成 扫描 可 能 包含 未 
发 送 ( 因 为 超时 或 其 他 错误 ) 的 会 话 :如 果 单 击 Start( 开 始 )，WebInspect 


中 断 正 在 进行 的 扫描 。 用 户 可 通过 单 击 开始 /恢复 图 标 继续 扫描 

当 进 行 连续 爬行 和 审计 时 ， 用 户 可 跳 过 引擎 正在 运转 的 处 理 部 分 
(如 果 选 择 Test each engine type per session( 测 试 每 个 会 话 的 每 个 引 
擎 类 型 ) 或 跳 过 扫描 处 理 的 会 话 (如 果 选 择 Test each session per 
engine type( 测 试 每 台 引 擎 类 型 的 每 个 会 话 ) 
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( 续 表 ) 
功 能 


如 果 进 行 只 息 行 扫描 或 步 模式 扫描 ， 可 在 扫描 后 单 击 此 图 标 进行 
审计 


仅 当 选择 扫描 选项 卡 时 显示 此 按钮 。 如 果 从 下 拉 菜 单 中 选择 Scan 
Again( 再 次 扫描 ), 它 会 启动 上 次 使 用 扫描 时 预先 设置 的 扫描 向 导 。 
如 果 选 择 Verify Vulnerabilities (验证 漏洞 ) ， 则 只 对 原始 扫描 到 有 
漏洞 的 目标 网 站 进行 检测 


仅 当 选择 扫描 选项 卡 时 显示 此 按钮 。 可 通过 比较 同一 目标 的 两 个 
不 同 扫描 发 现 漏洞 


此 按钮 仅 连接 到 WebInspect Enterprise 后 出 现 。 它 允许 指定 软件 安 
全 中 心 (SSC) 和 版 本 。WebInspect 可 从 SSC 再 次 下 载 漏洞 列表 ， 比 
较 下 载 的 漏洞 和 当前 扫描 的 漏洞 ， 为 当前 扫描 到 的 漏洞 分 配 一 个 
合适 的 状态 (新 建 、 现 有 、 重 新 或 者 未 找到 ) 

此 按钮 仅 连接 到 WebInspect Enterprise 后 出 现 ， 当 用 户 已 同步 到 
WebInspect 软件 安全 中 心 后 并 启用 。 它 通过 WebInspect 将 项 目 版 
本 数据 上 传 到 企业 软件 安全 中 心 

此 按钮 仅 在 WebInspect 连接 到 评估 管理 平台 (AMP) 时 出 现在 打开 
的 扫描 选项 卡 中 。 它 允 许 将 扫描 设置 发 送 到 AMP, AMP 创建 一 个 
扫描 请 求 ， 并 发 送 到 扫描 队列 中 的 下 一 个 可 用 检测 部 件 

此 按钮 仅 出 现在 WebInspect 连接 到 WebInspect Enterprise 旦 扫描 有 具 
有 时 。 它 允许 将 扫描 设置 发 送 到 WebInspect Enterprise， 
WebInspect Enterprise 创建 一 个 扫描 请 求 ， 并 发 送 到 扫描 队列 中 的 
下 一 个 可 用 检测 部 件 


表 7-7 列 出 了 WebInspect 标准 工具 栏 上 的 可 用 按钮 。 


F Run in WebInspect Enterprise| 


表 7-7_ 标 准 工具 栏 按钮 


按钮 功 能 


允许 启动 向 导 扫 描 、 网 站 扫描 、Web 服务 扫描 或 企业 扫描 


允许 打开 一 个 扫描 或 报告 


EN Compliance Manager 


打开 合 规 管理 器 ， 人 允许 创建 一 个 合 规 政策 


NE 打开 策略 管理 器 ， 允 许 修 改 WebInspect 的 扫描 策略 ， 并 创建 
自 定义 检查 ， 以 检查 特定 漏洞 


[a Policy Manager 


如 果 单 击 start 页 面具 有 焦点 时 ，WebInspect 可 以 提示 扫描 ， 
然后 允许 选择 报告 。 如 果 单 击 扫描 选项 卡 具有 焦点 时 ， 会 提 
示 选 择 要 打开 的 扫描 报告 

安排 发 生 在 特定 时 间 和 日 期 的 扫描 


FE 


Report| 


按钮 


amp webconsole 


s223。 


( 续 表 ) 


联系 HP 中 央 数 据 库 ， 以 确定 系统 是 否 有 可 用 的 更 新 ， 如 果 
存在 更 新 ， 提 示 用 户 安装 

启动 AMP 的 Web 控制 台 应 用 程序 。 只 有 当 用 户 连接 到 
AMP 时 显示 此 按钮 


| F WebInspect Enterprise WebConsole| 


启动 WebInspect EnterpriseWeb 控制 台 应 用 程序 。 只 有 当 用 


户 连接 到 WebInspect Enterprise 时 显示 此 按钮 


表 7-8 说 明了 管理 扫描 工具 栏 上 可 用 的 按钮 。 


划 


表 7-8_ 管理 扫描 工具 栏 按钮 
功 能 


世 
日 || 济 
9 


@\ Rescan ~ 


Me Rename 
X Delete 
鳃 I 


屿 Exportv 


放 旧 


F| 
已 
已 
= 


WF compare 


由 Connections 


要 打开 扫描 ,选择 一 个 或 多 个 扫描 ， 然 后 单 击 Open( 或 直接 双击 列表 中 的 条 目 )。 
WebInspect 可 以 加 载 扫描 数据 并 显示 每 次 扫描 的 单独 选项 卡 

要 局 动 预先 设置 的 最 近 用 于 选 定 扫描 的 扫描 向 导 ， 单 击 Rescan 一 Scan Again( 重 
新 扫描 一 再 次 扫描 )。 仅 重新 扫描 那些 以 前 扫描 过 程 中 发 现 漏洞 的 会 话 ， 选 择 一 
个 扫描 ， 并 单 击 Rescan 一 Retest Vulnerabilities( 重 新 扫描 一 重新 测试 漏洞) 


要 重新 命名 选 定 的 扫描 ， 单 击 Rename( 重 命名 ) 


要 删除 选 定 的 扫描 ， 单 击 Delete( 删 除 ) 


要 导入 扫描 ， 单 击 Import( 导 入 ) 

要 导出 扫描 , 导出 扫描 的 详细 信息 , 或 导出 扫描 到 软件 安全 中 心 , 单 击 Export( 导 
出 ) 的 下 拉 箭头 

为 比较 扫描 ， 选 择 两 个 扫描 (使 用 Ctl+ 单 击 )， 然 后 单 击 Compare( 比 较 ) 

默认 情况 下 , WebInspect 列 出 保存 在 本 地 SQL Server Express Edition 和 配置 SQL 
Server 标准 版 的 所 有 扫描 。 要 选择 一 个 或 两 个 数据 库 ， 或 指定 一 个 SQL Server 
连接 ， 单 击 Connections( 连 接 ) 


由 


© Refresh 


必要 时 ， 单 击 Refresh( 刷 新 ) 以 更 新 显示 


国 columns 


单 击 Columns( 列 ) 选 择 要 显示 哪些 列 。 也 可 以 重新 排列 各 列 顺序 ， 使 用 上 移 下 移 
按钮 ， 或 者 在 管理 扫描 列表 中 ， 可 以 简单 地 拖 放 列 标题 


7.2.6 ”Weblnspect 菜单 栏 
菜单 栏 包含 以 下 菜单 : 


e 文件 (File) 
e 扫描 (Scan) 
。 编辑 (Edit) 


e 企业 服务 器 (Enterprise Server) 
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视图 (View) 
报告 (Reports) 
工具 (Tools) 
帮助 (Help) 


1) 文件 菜单 

下 面 的 命令 在 文件 菜单 中 可 用 。 

新 建 (New): 允许 用 户 选择 向 导 扫 描 、 基 础 扫描 、Web 服务 扫描 或 企业 扫描 ， 从 而 启动 
相应 的 向 导 ， 引 导 用 户 完成 扫描 的 过 程 。 

打开 (Open): 允许 打开 任何 一 个 扫描 或 报告 。 

计划 (Schedule): 打开 管理 扫描 调度 窗口 ， 允 许 添加 、 编 辑 或 删除 计划 扫描 。 

导入 扫描 (Import Scan): 允许 导入 扫描 文件 。 

导出 (Exporb: 让 用 户 导出 扫描 文件 或 扫描 详细 信息 文件 。 

关闭 选项 卡 (Close Tab): 当 多 个 选项 卡 打 开 时 ， 关 闭 当 前 标签 。 

退出 (Exib: 关闭 WebInspect 程序 。 


2) 编辑 菜单 
下 面 的 命令 在 编辑 菜单 中 可 用 。 
默认 扫描 设置 Default Scan Settings): 显示 默认 的 设置 窗口 ， 允 许 用 户 选择 或 修改 用 于 扫 
描 的 选项 。 
当前 扫描 设置 (Current Scan Settings): 显示 一 个 设置 窗口 ， 允 许 用 户 选择 或 修改 当前 扫描 
选项 。 

管理 设置 (Manage Settings): 打开 一 个 窗口 ， 允 许 用 户 添加 、 编 辑 或 删除 设置 文件 。 

应 用 程序 设置 (Application Settings): 显示 应 用 程序 设置 窗口 ， 允 许 用 户 选择 或 修改 控制 
WebInspect 应 用 程序 操作 选项 。 

复制 网 址 (Copy URL): 将 选 定 的 URL 复制 到 Windows 剪贴 板 。 

复印 扫描 日 志 (Copy Scan Log): 将 日 志 ( 所 选 选项 卡 上 的 扫描 ) 复 制 到 Windows 剪贴 板 。 


3) 视图 菜单 

下 面 的 命令 在 View 菜单 中 可 用 。 

自动 换行 (Word Wrap): 当 查 看 HTTP 请 求 和 响应 时 ， 在 显示 区 域 的 右 侧 边 距 插入 | 
只 有 当选 中 扫描 选项 卡 时 ， 该 命令 才 可 用 。 
工具 栏 (Toolbars): 允许 用 户 选择 要 显示 的 工具 栏 。 


be 
i 


4) 工 具 菜 单 
[ 具 菜 单 命令 用 来 启动 被 WebInspect 封装 的 工具 应 用 程序 。 


5) 扫描 菜单 

只 有 当选 中 扫描 选项 卡 具有 焦点 ， 扫 描 菜单 才 是 可 见 的 。 它 包含 下 面 的 命令 。 
开始 /恢复 (Star/Resume): 用 户 和 暂停 程序 后 ， 开 始 或 恢复 扫描 。 

暂停 (Pause): 暂停 个 行 或 审计 程序 。 单 击 Resume( 恢 复 ) 继 续 扫描 。 
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跳 过 (Skip): 如 果 审 计 正在 进行 中 ， 跳 到 下 一 个 审计 方法 。 如 果 在 这 个 过 程 中 正在 进行 
疏 行 ， 跳 过 这 个 审计 。 

审计 (Audib: 评估 息 行 网 站 的 漏洞 。 完 成 候 行 或 退出 步 模式 之 后 使 用 该 命令 。 
重新 扫描 (Rescan): 此 命令 将 启动 上 次 所 选 扫描 预先 设 定 的 扫描 向 导 。 


6) 企业 服务 器 菜单 

Enterprise Server 菜单 包含 以 下 命令 。 除了 Connectto AMP 的 所 有 命令 , 仅 当 WebInspect 
连接 到 一 个 企业 服务 器 时 ，Connect to WebInspect Enterprise 以 及 About Enterprise Servers 是 
可 用 的 。 

连接 到 AMP/ 断 开 (Connect to AMP/Disconnect): 建立 或 断 开 评估 管理 平台 (AMP) 服 务 器 
的 连接 。 

连接 到 WebInspect Enterprise/ 断 开 (Connect to WebInspect Enterprise/Disconnect): 建立 或 
断 开 WebInspect Enterprise(WIE) 服 务 器 的 连接 。 

上 传 扫描 (Upload Scan): 用 于 将 数据 传送 到 AMP 服务 器 进行 扫描 ， 供 用 户 选择 。 在 “ 自 
动 上 传 扫描 ”未 设置 时 ， 这 是 使 用 频率 最 高 的 操作 。 

下 载 扫 描 (Download Scan): 允许 用 户 选择 从 AMP 服务 器 复制 到 硬盘 驱动 器 的 扫描 。 

发 布 扫描 (Publish Scan): 显示 一 个 对 话 框 ， 允 许 用户 查看 漏洞 ， 并 将 它们 传送 到 企业 服 
务 器 ， 再 将 它们 依次 传送 到 HP Fortify Software 的 安全 中 心服 务 器 。 

传送 设置 (Transfer Settings): 允许 选择 一 个 WebInspect 设置 文件 ， 并 将 其 转移 到 企业 服 
务 器 ， 这 将 创建 一 个 基于 这 些 设 置 的 扫描 模板 。 还 可 选择 一 个 企业 级 服务 器 扫描 模板 ， 并 将 
其 转移 到 WebInspect， 这 将 创建 一 个 基于 模板 的 设置 文件 。 

Web 控制 台 (WebConsole): 启动 AMP 或 WebInspect Enterprise Web 控制 台 应 用 程序 。 
只 有 当 连 接 到 企业 服务 器 该 按钮 会 出 现 。 

关于 企业 服务 器 (About Enterprise ServeD: 显示 相关 评估 管理 平台 和 WebInspect Enterprise 
信息 。 

注意 ，WebInspect 在 任何 时 候 都 可 以 安装 一 个 独立 的 许可 证 连接 到 企业 服务 器 ， 只 要 用 
户 是 AMP 或 WebInspect Enterprise 的 角色 成 员 。 


7) 报告 菜单 

报告 菜单 包含 以 下 命令 。 

生成 报告 (Generate Report): 启动 报告 生成 。 

管理 报告 (Manage Reports): 显示 标准 和 自 定义 报告 类 型 的 列表 。 用 户 可 以 重 命名 、 删 除 
或 导出 自 定义 设计 报告 ， 也 可 以 导入 报告 定义 文件 。 

报告 设计 器 (Report DesigneD: 启动 报告 设计 器 ， 人 允许 用 户 定义 一 个 自 定义 报告 。 


8) 帮助 菜单 

下 面 的 命令 在 帮助 菜单 中 可 用 。 

WebInspect 帮助 (WebInspect Help): 打开 帮助 文件 。 

首页 (Index): 打开 帮助 文件 ， 在 左 窗 格 中 显示 索引 。 
搜索 (Search): 打开 帮助 文件 ， 在 左 窗 格 中 显示 搜索 选项 。 
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支持 (Support): 如 果 支 持 渠道 被 启用 ， 显 示 一 个 视窗 ， 人 允许 用 户 将 增强 请 求 提交 给 HP。 

教程 (Tutorials): 允许 下 载 教程 和 其 他 WebInspect 文档 。 

关于 WebInspect(About WebInspect): 有 关 WebInspect 应 用 程序 显示 的 信息 ， 包 括 许可 
证 信息 、 人 允许 主 机 和 属性 。 


7.2.7 HP 应 用 安全 中 心 


HP 应 用 安全 中 心 的 应 用 程序 ， 在 任务 栏 通知 区 域 用 图 标 表 示 ， 如 图 7-24 所 示 ， 提 供 一 
个 上 下 文 菜单 ， 允 许 用 户 : 

e 开始 /停止 检测 部 件 服务 。 

。 开始 /停止 调度 服务 。 

e 配置 WebInspect 作为 评估 管理 平台 (AMP) 检 测 部 件 。 

当 某 些 事件 发 生 时 ， 弹 出 消息 也 会 随 之 出 现 。 

使 用 这 项 功能 , 用 户 可 将 WebInspect 作为 一 个 独立 的 扫描 仪 进行 安装 , 然后 连接 到 AMP 
或 WebInspectEnterprise。 


7.2.8 检查 结果 : 向 导 扫描 或 基础 扫描 


只 要 运行 一 个 向 导 扫描 或 基础 扫描 ，WebImspect 就 会 开始 评估 Web 应 用 程序 并 在 导航 
窗 格 中 显示 每 个 会 话 (使 用 本 网 站 或 序列 视图 ) 的 图 标 。 它 还 报告 摘要 窗 格 中 漏洞 选项 卡 和 信 
息 选项 卡 上 可 能 存在 的 漏洞 。 

如 果 单 击 摘要 窗 格 中 列 出 的 URL, 在 导航 窗 格 中 该 程序 
突出 显示 相关 会 话 ， 并 在 信息 窗 格 中 显示 相关 信息 。 

有 时 ， 所 检测 到 有 漏洞 的 会 话 攻击 不 会 在 攻击 信息 中 列 
出 。 也 就 是 说 ， 如 果 用 户 在 导航 窗 格 中 选择 一 个 有 漏洞 的 会 
话 ， 然 后 在 Session Info( 会 话 信息 ) 面 板 单 击 Attack Info( 攻 击 
信息 )， 攻 击 信息 不 会 显示 在 信息 窗 格 中 。 这 是 因为 攻击 信息 
通常 与 创造 攻击 的 会 话 相 关联 ， 而 不 是 与 其 被 检测 到 的 会 话 。 图 7-24 HP 安全 中 心 的 应 用 程序 
相关 联 。 发生 这 种 情况 时 , 选择 上 一 级 会 话 , 然后 单 击 Attack 
Info( 攻 击 信息 )。 

如 果 在 漏洞 选项 卡 的 漏洞 描述 上 单 击 鼠 标 右键 ， 用 户 可 以 通过 快捷 菜单 : 
复制 网 址 (Copy URL): 复制 网 址 到 Windows 剪贴 板 。 
复制 选择 条 目 (Copy Selected Item(s)): 复制 选 定 的 条 目 到 Windows 剪贴 板 中 的 文本 。 
复制 所 有 条 目 (Copy All Items): 复制 所 有 的 条 目 到 Windows 剪贴 板 中 的 文本 。 
导出 (Exporb: 创建 一 个 逗号 分 隔 值 (CSV) 文 件 。 

在 浏览 器 中 查看 (View in Browser): 在 浏览 器 中 查看 HTTP 响应 。 

当前 值 的 过 滤器 (Filter by Curent Value): 限定 满足 选择 标准 的 漏洞 显示 。 例如 ,如果 
在 POST 的 方法 列 单 击 鼠标 右键 ， 然 后 选择 Filter by Curent Value， 列 表 中 只 显示 那 
些 被 发 现 通过 使 用 POST 方法 发 送 的 HTTP 请 求 的 漏洞 。 
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了 过 小 条 件 显示 在 摘要 窗 格 右上 角 的 组 合 框 中 。 或 者 ， 也 可 以 手动 输入 或 选择 使 用 
组 合 框 限 制 一 个 过 滤 条 件 。 


e 更 改 严重 性 (Change Severity): 允许 更 改 的 严重 性 级 别 。 
。 编辑 漏洞 (Edit Vulnerability): 显示 编辑 对 话 框 中 的 漏洞 ， 修 改 各 种 漏洞 特征 。 
。 审阅 漏洞 (Review Vulnerability): 重新 测试 漏洞 会 话 ， 将 其 标记 为 误 报 ， 或 将 其 发 送 
到 HP 质量 中 心 或 IBM Rational ClearQuest。 
e 标记 为 (Mark as): 允许 标记 漏洞 作为 误 报 或 忽略 。 要 查看 误 报 ， 在 扫描 信息 面板 中 选 
择 误 报 。 这 两 种 情况 下 ， 该 漏洞 可 从 列表 中 删除 。 用 户 可 在 扫描 信息 面板 选择 误 报 
来 查看 所 有 误 报 的 列表 。 用 户 也 可 以 通过 在 扫描 信息 面板 中 选择 仪表 板 查看 误 报 和 
忽略 的 漏洞 列表 ， 然 后 在 统计 列 单 击 已 删除 条 目的 超 链接 数量 。 注 意 : 可 恢复 “ 误 
报 ” 和 “忽略 ”的 漏洞 。 
e 发 送 到 (Send to): 转换 该 漏洞 的 缺陷 ， 并 将 其 添加 到 HP 质量 中 心 或 IBM Rational 
ClearQuest 数据 库 。 
e 删除 位 置 (Remove Location): 从 导航 窗 格 (包括 网 站 和 序列 视图 ) 删 除 选 定 会 话 ， 并 删 
除 任何 相关 的 漏洞 。 注 意 : 可 恢复 删除 位 置 (会 话 ) 及 其 相关 的 漏洞 。 
e 爬行 (CrawD): 疏 行 选 定 的 URL。 
@ 工具 (Tools): 介绍 可 用 工具 的 子 菜单 。 
e 附件 (Attachments): 允许 创建 与 选 定 会 话 相关 的 说 明 ， 标 志 会 话 的 跟 进 ， 添 加 一 个 漏 
洞 说 明 ， 或 添加 一 个 漏洞 快照 。 
如 果 右 键 单 击 组 标题 ， 通 过 一 个 快捷 菜单 可 以 : 
折合 /展开 所 有 组 (Collapse/Expand All Groups) 
折 敬 /展开 组 (Collapse/Expand Group) 
复制 选 定 的 条 目 (Copy Selected Item(s)) 
复制 所 有 条 目 (Copy All Items) 
导出 (Exporb) 
更 改 严重 性 (Change Severity) 
标记 为 (Mark as) 
发 送 至 (Sendto) 
删除 位 置 Remove Location) 
1. 会 话 
会 话 是 一 个 匹配 的 集合 , 包括 通过 WebInspect 发 送 HTTP 请 求 来 测试 漏洞 ， 以 及 从 服务 
器 接收 的 HITP 响应 。 疏 行 或 扫描 过 程 中 采用 的 每 个 会 话 被 列 在 导航 窗 格 中 。 
在 信息 窗 格 中 单 击 导航 窗 格 中 的 会 话 来 查看 相关 会 话 信息 。 
在 信息 窗 格 中 ， 顶 部 区 域 包含 一 些 控件 的 视图 ， 在 这 里 可 以 搜索 显示 的 文本 。 如 果 要 使 
用 正则 表达 式 进 行 搜索 ， 选 择 Regex 复 选 枉 。 状 态 栏 将 显示 行 数 和 当前 行 ， 并 找到 一 个 条 目 
的 当前 列 以 及 相 匹 配 的 条 目 总 数 。 
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2. 会 话 快捷 菜单 
右键 单 击 会 话 显示 一 个 快捷 菜单 ， 允 许 用 户 调查 选 定 会 话 。 命 令 的 可 用 性 取决 于 所 选 的 
用 户 可 以 很 容易 地 导出 一 个 文本 或 XML 文件 中 的 每 个 会 话 的 URL、 评 论 、 隐 藏 字段 和 
各 种 其 他 信息 的 列表 。 
3. 编辑 漏洞 


WebInspect 评估 应 用 程序 的 漏洞 后 ， 用 户 可 能 需要 为 各 种 各 样 的 原因 编辑 并 保存 结果 ， 


包括 : 


e 安全 性 (Security): 如 果 一 个 HTTP 请 求 或 响应 中 包含 密码 、 账 号 或 其 他 敏感 数据 ， 


用 户 可 能 想 删 除 或 修改 此 信息 ， 使 扫描 结果 在 组 织 中 对 其 他 人 可 用 。 

校正 (Cormrection): WebInspect 偶尔 会 报告 “ 误 报 ”， 这 种 情况 发 生 在 WebImspect 检 
测 有 可 能 是 漏洞 迹象 时 ， 但 进一步 的 调查 由 开发 人 员 确定 实际 上 是 否 为 误 报 。 用 户 
可 从 会 话 中 删除 该 漏洞 或 删除 整个 会 话 。 或 者 ， 可 将 它 指定 为 误 报 (右键 单 击 任 一 网 
站 或 序列 视图 中 的 会 话 ， 然 后 选择 标记 为 误 报 )。 

严重 性 修改 (Severity Modification): 如 果 不 同意 漏洞 的 等 级 ， 可 指定 一 个 不 同等 级 ， 
使 用 以 下 规模 : 


0-9 Normal 

10 Information 
11-25 Low 
26-50 Medium 
51-75 High 


76-100 Critical 

记录 保存 (Record Keeping): 用 户 可 修改 任何 与 个 人 有 关 的 报告 字段 的 漏洞 (摘要 、 执 
行 、 建 议 、 实 施 、 修 正和 参考 资料 )。 例 如 ， 用 户 可 添加 一 个 段落 来 描述 如 何 真正 解 
决 问题 的 修正 部 分 。 

增强 (Enhancemenb: 如 果 发 现 一 个 新 漏洞 ， 可 以 定义 它 ， 并 把 它 添加 到 一 个 会 话 作 
为 一 个 自 定义 的 漏洞 。 


按照 下 面 的 步骤 编辑 会 话 : 

1) 在 导航 窗 格 中 ， 右 键 单 击 包含 一 个 漏洞 的 会 话 或 在 摘要 窗 格 中 右键 单 击 一 个 URL。 

2) 从 快捷 菜单 中 选择 Edit Vulnerability( 编 辑 漏洞 )。 编 辑 漏洞 窗口 如 图 7-25 所 示 。 

3) 选择 一 个 漏洞 (如 果 会 话 包含 多 个 安全 漏洞 )。 

4) 要 添加 一 个 现 有 的 漏洞 会 话 (也 就 是 ， 一 个 存在 于 数据 库 中 的 漏洞 )， 单 击 Add 
Existing( 添 加 现 有 )。 


或 类 型 。 


a) 在 添加 现 有 的 漏洞 窗口 中 , 输入 一 个 漏洞 名 称 的 一 部 分 , 或 一 个 完整 的 漏洞 也 号 


b) 单 击 Search( 搜 索 )。 
c) 选择 一 个 或 更 多 的 搜索 的 漏洞 。 
d) 单 击 OK( 确 定 )。 
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Edit yulnerabilities 


Check Name Check Type 

Backup File (Appended ,bak) Yulnerability 

Possible Server Path Disclosure (unix) Yulnerability 

Unencrypted Login Form Yulnerability Hi Critical 
Logins 5ent Over Unencrypted Connection Yulnerability Hi Low 


Check Name: |Backup File (Appended .bak) 
Check Type; | Yulnerability ity: | Hi Probability: 


Summary | Implication | Execution 


Bb serious vulnerability has been detected in your web application due to the presence of a backup file on your server, Often, 
old files are renamed with an appended extension such as ,bak to distinguish them from production files, The source code for 
old files that have been renamed in this manner and left in the webroot can often be retrieyed, At a minimum, an attacker who 
retrieyes this file would have all the information contained in it, whether that be database calls, the format of parameters 
accepted by the application, or simply information regarding the architectural structure of your site, Recommendations include 
implementing a security policy within your organization that prohibits backing up web application source code in the webroot, 


| Restore Defaults | 


图 7-25 编辑 漏洞 窗口 


5) 要 添加 一 个 自 定义 漏洞 ， 单 击 Add Custom( 添 加 自 定义 )。 然后， 可 以 编辑 该 漏洞 ， 正 
如 在 步骤 7 中 所 描述 。 

6) 要 删除 选 定 会 话 的 漏洞 ， 单 击 Delete( 删 除 )。 

7) 要 修改 漏洞 ， 从 漏洞 详细 部 分 选择 不 同 的 选项 。 用 户 也 可 以 修改 出 现在 摘要 的 描述 、 
含义 、 执 行 、 修 复 、 参 考 信 息 选项 卡 的 漏洞 。 

8) 单 击 OK( 确 定 ) 保 存 更 改 。 


7.2.9 检查 结果 : Web 服务 扫描 


大 多 数 Web 服务 使 用 简单 对 象 访问 协议 (SOAP)， 在 Web 服务 器 和 客户 端 Web 应 用 程 
序 之 间 发 起 信息 请 求 来 发 送 XML 数据 。XML 提供 了 一 个 框架 描述 ， 并 包含 结构 化 数据 。 客 
户 端的 Web 应 用 程序 可 以 容易 地 理解 所 返回 的 数据 ， 并 将 该 信息 提供 给 最 终 用 户 。 

访问 Web 服务 客户 端的 Web 应 用 程序 接收 到 一 个 Web 服务 定义 语言 (WSDL) 文 件 ， 以 
便 它 知道 如 何 与 该 服务 进行 通信 。WSDL 文档 描述 的 程序 包含 在 Web 服务 器 中 ， 如 图 7-26 
所 示 。 
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图 7-26 ”Web 服务 扫描 检查 结果 


在 导航 窗 格 中 或 摘要 窗 格 中 的 漏洞 选项 卡 上 选择 一 个 会 话 对 象 后 ， 用 户 可 从 会 话 信息 面 
板 选择 该 选项 。 


7.2.10 ”导出 扫描 


WebInspect 自动 在 应 用 程序 设置 的 指定 目录 中 保存 扫描 结果 。 

使 用 导出 功能 将 扫描 信息 传送 到 另 一 个 WebInspect 应 用 程序 或 评估 管理 平台 (AMP)。 

按照 下 面 的 步骤 来 导出 扫描 : 

1) 打开 要 导出 的 扫描 或 单 击 包 含 一 个 打开 的 扫描 的 选项 卡 。 单 击 File 一 Export 一 
Scan(“ 文 件 ” 一 “导出 ”一 “扫描 ”) 或 File 一 Export- Scan to Software Security Center(“ 文 
件 ”一 “导出 ”一 “扫描 到 软件 安全 中 心 ”), 或 在 开始 页 面 的 管理 扫描 窗 格 中 选择 一 个 扫描 ， 
单 击 Export( 导 出 ) 按 钮 的 下 拉 箭 头 , 然后 选择 Export Scan( 导 出 扫描 ) 或 Export Scan to Software 
Security Center( 导 出 扫描 到 软件 安全 中 心 )。 

导出 扫描 窗口 (或 导出 扫描 到 软件 安全 中 心 窗口 ) 会 出 现 ， 如 图 7-27 所 示 。 


Sarub Data 

Type Replace 

贺 ssN OOC-XX-XXXX 
Credit Card 000000000000000X 
回信 Address XXO OX 


Attachments 


| Export Logs 


Ready 


图 7-27 Export a Scan( 导 出 扫描 ) 窗 口 
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2) 擦洗 数据 (The Scrub Data) 组 在 默认 情况 下 包含 三 个 不 可 编辑 的 正则 表达 式 函 数 替代 
义 中 每 个 数字 的 格式 化 字符 串 ， 如 一 个 社会 安全 号 码 、 信 用 卡号 码 或 他 地址 。 如 果 要 包含 一 
个 搜索 和 替换 功能 ， 需 选择 与 其 相关 的 复 选 框 。 
3) 要 创建 擦洗 功能 : 
a) 单 击 Add( 添 加 )。 
b) 在 添加 擦洗 输入 窗口 中 ， 选 择 Regex( 正 则 表达 式 ) 或 从 Type( 类 型 ) 列 表 中 选择 
Literal( 文 字 )。 
c) 在 Match( 匹 配 ) 框 中 ， 输 入 要 查找 的 字符 串 (或 一 个 字符 串 表示 的 正则 表达 式 )。 如 
果 使 用 正则 表达 式 ， 用 户 可 单 击 浏览 按钮 呈 J， 打 开 正 则 表达 式 编辑 器 ， 使 用 它 
可 以 创建 和 测试 正则 表达 式 。 
d) 在 Replace( 蔡 换 ) 杠 中， 输入 将 由 匹配 字符 串 替 换 的 目标 指定 字符 串 。 
e) 单 击 OK( 人 确定 )。 


、 2 Publish Scan to Software Security Center 窗口 不 包含 附件 或 日 志 的 选项 。 如 果 和 要 导出 
二 到 软件 安全 中 心 ， 请 转 到 步骤 6。 


4 如 果 要 导出 到 软件 安全 中 心 ， 请 转 到 步骤 7。 
5) 如 果 想 要 包含 一 个 附件 : 
a) 在 Attachments( 附 件 ) 组 中 ， 单 击 Add( 添 加 )。 
b) 使 用 标准 文件 选择 窗口 ， 导 航 到 包含 要 附加 文件 的 目录 。 
c) 选择 一 个 文件 ， 然 后 单 击 Open( 打 开 )。 
6) 如 果 要 包括 扫描 的 日 志文 件 ， 选 择 Export Logs( 导 出 日 志 )。 
7) 单 击 Export( 导 出 )。 
8) 使 用 标准 的 文件 选择 窗口 ， 选 择 一 个 位 置 ， 然 后 单 击 Save( 保 存 )。 


7.2.11 ”导出 扫描 详细 信息 


使 用 导出 功能 保存 WebInspect 息 行 或 审计 时 收集 到 的 信息 。 
1) 打开 扫描 ， 或 单 击 包含 扫描 的 选项 卡 。 
2) 单 击 File 一 Export Scan Details(“ 文 件 ” 一 “导出 ”一 “扫描 详细 信息 ”)。 出 现 Export 
Scan Details( 导 出 扫描 详细 信息 ) 窗 口 ， 如 图 7-28 表示 。 
3) 从 Details( 详 细 信息 ) 信 息 列 表 中 ， 选 择 要 导出 信息 的 类 型 。 可 用 条 目 取决 于 扫描 进行 
的 类 型 。 
4) 从 Export Format( 输 出 格式 ) 列 表 中 选择 一 种 格式 (文本 或 XML)。 


7.2.12 ”发 布 到 软件 安全 中 心 


1. 通过 Weblnspect Enterprise 发 布 


通过 WebInspect Enterprise， 请 使 用 以 下 过 程 将 扫描 数据 传输 到 HP Fortify Software 安全 
中 心服 务 器 。 
1) 配置 WebInspect Enterprise 和 软件 安全 中 心 。 
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2) 运行 扫描 中 的 WebInspect( 或 使 用 导入 或 下 载 扫描 )。 
3) 单 击 Enterprise Server 菜单 ， 并 选择 Connect to WebInspect Enterprise( 连 接 WebInspect 
Enterprise)。 系 统 将 提示 提交 的 凭证 。 


国 | Export Scan Details 


Settings 
Details: |Comments 国 


Export Format: Ew 国 *" 


Details Description 


Eports all comments located within responses. Comments include: 
HTML Comments: <!-- my comment - 
C style comments: $y My commoPt or My comment sn 

ote: Comments are base64 encoded when exported in XML 


Scrub Data - 


IP Address O00 O00O0< EE 


图 7-28 ”Export Scan Details( 导 出 扫描 详细 信息 ) 窗 口 


4) 在 具有 焦点 的 选项 卡 上 ， 可 以 发 布 扫描 : 

a) 单 击 鲜 synchronize 。 

b) 选择 一 个 项 目 和 版 本 ， 然 后 单 击 OK( 确 定 )。 

c) 检查 结果 。 在 摘要 窗 格 中 列 将 出 现 指定 “发 布 状态 ”(Published Status) 和 “待定 状 
态 ”(Pending Status)。 发 布 状态 是 这 个 漏洞 扫描 发 布 到 WebInspect Enterprise 上 一 
次 的 状态 。 待 定 状态 是 扫描 公布 之 后 ， 漏 洞 将 是 什么 状态 。 根 据 不 同 的 待定 状态 ， 
可 以 修改 它 来 指定 该 漏洞 是 否 已 经 解决 或 依然 存在 ( 见 下 7 步 )。 此 外 ， 命 名 为 “未 
找到 ”的 一 个 新 选项 卡 出 现 ， 此 选项 卡 包含 以 前 扫描 中 检测 到 的 漏洞 ， 但 并 不 是 
当前 扫描 中 的 漏洞 。 用 户 可 以 添加 屏幕 截图 和 评论 漏洞 或 标记 漏洞 为 误 报 或 忽略 。 
还 可 以 查看 并 重新 测试 漏洞 ， 修 改 扫描 结果 ， 直 到 准备 好 发 布 。 

d) 单 击 国 |Publsh |。 转 到 步 又 7。 

要 从 扫描 列表 中 进行 选择 ， 可 执行 以 下 步 又; 

a) 单 击 Enterprise Server 菜单 ， 然 后 选择 Publish Scan( 发 布 扫描 )。 

b) 在 Publish Scan to Software Security Center 对 话 框 中 ， 选 择 一 个 或 多 个 扫描 。 

c) 选择 一 个 项 目 和 项 目 版 本 。 

qd) 单 击 Next( 下 一 步 )。WebInspect 可 以 使 用 SSC 自动 同步 。 

6) WebInspect 列 出 要 公布 的 漏洞 数量 ， 按 状态 和 严重 程度 进行 分 类 。 为 确定 身份 ， 


5 


ws 
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WebInspect 可 在 当前 扫描 中 比较 以 前 提交 的 漏洞 (通过 SSC 同步 获得 )。 如 果 这 是 第 一 次 扫描 
提交 的 项 目 版 本 ， 所 有 漏洞 将 是 “新 漏洞 ”。 

如 果 一 个 漏洞 被 先前 报告 过 ， 但 不 在 当前 扫描 中 ， 它 会 标记 为 “未 找到 ”。 用 户 必须 确 
定 它 是 否 因为 已 被 固定 或 扫描 配置 不 同 而 未 被 发 现 (例如 ， 可 能 使 用 不 同 的 扫描 策略 , 或 者 扫 
描 网 站 的 不 同 部 分 ， 或 者 提前 终止 扫描 )。 

7) 如 果 扫 描 是 为 了 回应 HP Fortify Software 安全 中 心 ， 选 择 Associate scan with an “In 
Progress” scan request for the current project version( 在 当前 项 目的 版 本 关联 “进行 中 ”的 扫描 请 求 )。 

8) 单 击 Publish( 完 成 )。 


单 击 Publish 后 ,扫描 排队 等 待 上 传 到 WebInspect Enterprise。 它 被 上 传 后 , WebIns pect 
可 将 企业 排队 扫描 发 布 到 共享 服务 中 心 。 出 于 这 个 原因 ， 发 布 在 待定 状态 和 发 布 

注意 昌 状态 列 中 的 结果 不 会 立即 显示 出 来 。 如 果 要 监视 上 传 和 发 布 操作 ， 可 使 用 
WebIspect Enterprise WebConsole(WebInspect EnterpriseWeb 控制 台 ) 按 钮 连接 到 
WeblInspect Enterprise。 


2. Weblnspect Enterprise 集成 化 


HP Fortify Software 安全 中 心 (SSC) 是 一 套 紧 密集 成 的 解决 方案 ， 用 于 识别 优先 级 分 配 和 
修复 安全 漏洞 软件 。 它 使 用 HP Fortify 静态 代码 分 析 器 进行 静态 分 析 ， 使 用 HP WebInspect 
进行 动态 应 用 安全 测试 。WebImspect Enterprise 提供 了 一 个 中 央 位 置 管理 多 个 WebInspect 扫 
描 和 关联 扫描 结果 ， 在 SSC 内 可 以 直接 发 布 到 个 人 项 目 版 本 。 

经 过 WebInspect 扫描 ， 与 WebInspect Enterprise 进行 同步 来 获取 历史 信息 ， 比 较 那些 历 
史上 扫描 的 漏洞 ， 然 后 分 配 一 个 状态 给 每 个 漏洞 ， 如 表 7-9 所 示 。 


表 7-9 SSC 说明 
SSC 状态 描述 
新 建 以 前 未 报告 的 问题 
现 有 在 扫描 历史 上 已 经 存在 的 漏洞 
在 扫描 历史 上 未 发 现 的 漏洞 。 这 可 能 是 因为 (9) 该 漏洞 已 经 被 修复 并 不 再 存在 , 或 (b) 
未 发 现 因为 最 新 的 扫描 中 使 用 不 同 的 设置 ， 或 扫描 该 网 站 的 不 同 部 分 ， 或 者 由 于 其 他 原因 
未 发 现 漏洞 
已 解决 已 修复 漏洞 
重新 引入 出 现在 当前 扫描 的 漏洞 ， 但 以 前 报道 Solved( 已 解决 ) 


仍然 是 一 个 问题 这 是 在 当前 扫描 “未 找到 ”的 一 个 漏洞 ， 事 实 上 存在 


要 更 改 单个 漏洞 的 SSC 状态 ， 请 右键 单 击 Vulnerability( 漏 洞 ) 选 项 卡 上 的 漏洞 ， 然 后 选 
择 Modify Publish Status( 修 改 发 布 状态 )。 连 接 到 WebInspect Enterprise 和 已 同步 WebInspect 
软件 安全 中 心 后 此 选项 才 会 出 现 。 

下 面 的 例子 演示 了 将 安全 漏洞 集成 到 HP Fortify Software 安全 中 心 假想 的 一 系列 扫描 。 

e 第 1 次 扫描 

1) 扫描 目标 网 站 的 WebInspect。 在 这 个 例子 中 ， 假 设 只 有 一 个 漏洞 漏洞 号 A) 被 发 现 。 
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2) 检查 结果 。 可 添加 屏幕 截图 和 评论 漏洞 或 标记 漏洞 为 误 报 或 忽略。 还 可 以 检查 ， 重 新 
测试 ， 并 删除 漏洞 。 

3) 扫描 与 项 目 版 本 SSC 同步 ， 然 后 发 布 扫描 。 

e 第 2 次 扫描 

1) 第 2 次 扫描 再 次 显露 漏洞 号 A， 但 也 发 现 了 4 个 漏洞 (漏洞 号 B、C、D 和 了 )。 

2) 扫描 项 目 版 本 在 SSC 中 同步 。 

3) 检查 结果 。 如 果 发 布 第 一 次 扫描 时 ， 对 漏洞 号 A 加 入 审计 数据 (如 评论 和 截图 )， 数 据 
将 被 导入 到 新 的 扫描 。 

4) 发 布 扫描 到 SSC。 漏 洞 号 A 将 被 标记 为 “ 现 有 ”， 漏 洞 号 B、C、D、EE 将 被 标记 为 

“新 建 ”，5 个 项 目 将 存在 于 SSC 系统 。 

e 第 3 次 扫描 

1) 第 3 扫描 发 现 漏洞 号 B、C 和 DD， 而 不 是 漏洞 号 A 或 漏洞 号 E。 

2) 扫描 的 项 目 版 本 在 SSC 中 同步 。 

3) 重新 测试 漏洞 号 A 后 ， 确 定 它 事实 上 存在 。 更 改 其 待定 状态 为 Still a Problem( 仍 然 是 
一 个 问题 )。 

4) 重新 测试 漏洞 号 E 后 ， 确 定 不 存在 。 更 改 其 待定 状态 为 Solved (已 解决 )。 

5) 发 布 扫描 到 SSC。 漏 洞 号 B、C 和 D 将 被 标记 为 Existed( 现 有 )。5 个 项 目 将 存在 于 
SSC 系统 。 

e 第 4 次 扫描 

1) 第 4 次 扫描 没有 发 现 漏洞 号 A 或 B。 扫 描 发 现 漏洞 号 C、D、E 和 下 。 

2) 扫描 的 项 目 版 本 在 SSC 中 同步 。 

3) 漏洞 号 三 先前 宣布 要 解决 ， 所 以 它 的 状态 设置 为 Peimport( 重 新 引入 )。 

4) 检查 未 发 现 这 个 漏洞 A 和 B)。 如 果 确 定 该 漏洞 依然 存在 ， 更 新 待定 状态 为 Stil a 
Problem( 仍 然 是 一 个 问题 )。 如 果 重 新 测试 验证 该 漏洞 不 存在 ， 更 新 的 待定 状态 为 Solved( 已 
解决 )。 

5) 发 布 扫描 到 SSC。 漏 洞 号 C 和 DD 仍然 标 有 Existed( 现 有 )。 

3. 通过 AMP 发 布 


连接 到 AMP， 使 用 下 列 步骤 将 扫描 数据 发 布 到 HP Fortify Software 安全 中 心 : 
1) 单 击 WebInspect Enterprise Server 菜单 ， 然 后 选择 Publish Scan( 发 布 扫描 )。 
2) 在 Publish Scan to Software Security Center 窗口 中 ,从 扫描 名 称 列 选择 WebInspect 扫描 。 


】 和 要 在 不 同 的 数据 库 访问 扫描 , 单 击 Connections( 连 接 )， 然 后 在 数据 库 应 用 程序 设置 
1 Connection Settings for Scan Viewing( 扫 描 视 图 的 连接 设置 ) 下 更 改选 项 。 

3) 从 AMP 组 的 下 拉 列 表 中 选择 一 个 网 站 。 可 以 通过 选择 Show Organizations( 显 示 组 织 ) 
查看 组 织 和 项 目 。 

每 次 扫描 都 必须 分 配 到 一 个 网 站 。 该 计划 试图 选择 匹配 扫描 文件 中 的 “扫描 网 址 ”的 网 
站 ， 但 可 以 选择 一 个 替代 。 

如 果 相 应 网 站 不 存在 ， 可 在 AMP 网 站 使 用 下 列 程序 创建 。 必 须 具 有 AMP 权限 才能 创 
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建 一 个 网 站 。 
a) 单 击 Create Site( 创 建 网 站 )( 在 对 话 框 的 右上 和 角 )。 
b) 为 对 AMP 服务 器 窗口 建立 网 站 ， 提 供 以 下 信息 。 
项 目 (Project): 选择 项 目 名 称 。 
网 站 名 称 (Site Name): 输入 该 网 站 的 名 称 。 
网 址 (URL): 输入 一 个 完全 限定 的 域名 或 他 地址 。 
阶段 hase): 输入 阶段 的 名 称 ， 或 从 阶段 列表 中 选择 一 个 现 有 的 名 称 ( 可 选 )。 对 于 分 配 
了 阶段 的 网 站 ， 可 只 显示 这 些 网 站 是 一 个 特定 阶段 的 成 员 。 
组 (Group): 输入 组 的 名 称 ， 或 从 组 列表 中 选择 一 个 现 有 的 名 称 (可 选 )。 如 果 创 建 网 站 和 群 ， 
可 以 只 显示 这 些 网 站 是 一 个 特定 组 的 成 员 。 
身份 验证 (Authenticatiom): 如 果 需 要 身份 验证 ， 从 列表 中 选择 一 个 类 型 。 
权重 (Weighb: 权重 用 来 计算 风险 评分 。 该 网 站 的 风险 评分 等 于 最 近 完 成 扫描 的 该 网 站 
乘 以 用 户 在 此 处 选择 的 值 。 它 允许 用 户 表明 一 些 网 站 更 重要 或 比 其 他 网 站 具有 更 高 的 风险 。 
c) 单 击 OK( 确 定 )。 
4) 在 Software Security Center( 软 件 安全 中 心 ) 组 中 ， 单 击 登录 。 
5) 输入 凭据 ， 然 后 单 击 OK( 确 定 )。 
6) 选择 一 个 项 目 版 本 。 
7) 单 击 Publish( 发 布 )。 


7.2.13 ”HP TippingPoint 导出 保护 规则 


使 用 导出 功能 来 创建 一 个 xml 文件 , 在 Web 应 用 程序 的 扫描 过 程 中 , 基于 HP WebInspect 
检测 到 的 漏洞 ， 该 文件 可 以 导入 到 TippingPoint 数字 疫苗 工具 包 。 然 后 ， 通 过 入 侵 防御 系统 
(IPS) 设 备 的 一 个 网 络 分 布 ， 数 字 疫 苗 工 具 包 可 以 创建 过 滤器 并 将 其 导入 到 HP TippingPoint 
的 安全 管理 系统 。 

要 创建 可 以 导入 到 TippingPoint 的 数字 疫苗 工具 包 文件 ， 可 执行 以 下 操作 。 

1) 打开 感 兴趣 的 扫描 (或 单 击 包含 一 个 要 打开 的 扫描 的 选项 卡 )， 然 后 单 击 File( 文 件 )， 
再 依次 单 击 Export( 导 出 ) 和 Protection Rules to HP TippingPoint(HP TippingPoint 保护 规则 )， 如 
图 7-29 所 示 。 


Export to HP TippingPoint 


Usethis dialog to performfull XML export to importinto HP TippingPoint DV Toolkit. 


Export Path: Browse… 


Destination Address: 


*Destination Address field populates IPtab in DV ToolKit. 


Eport |] 


图 7-29 HP TippingPoint 保护 规则 
2) 指定 Export Path( 导 出 路 径 )， 即 该 目录 中 要 保存 新 文件 。 
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3) Destination Address( 目 的 地 址 ) 是 可 选 的 。 

4) 单 击 Export( 导 出 )。 

映射 的 漏洞 转化 并 导出 到 部 分 或 全 部 指定 路 径 下 的 文件 : 

® TpXssRules.xml 

e TpSqlinjRules.xml 

e TpFileIncludeRules.xml 

5) 在 TippingPoint 的 数字 疫苗 工具 包 , 单 击 File( 文 件 ), 再 单 击 Import XML( 导 出 XML)， 
在 同一 时 间 导 入 每 个 xml 文件 。 忽 略 所 有 过 滤器 验证 信息 ( 单 击 Yes 继续 )。 导 入 文件 的 内 容 
累积 在 过 滤器 之 一 的 .csw 文件 。 

6) 单 击 File( 文 件 )， 再 单 击 Save As( 男 存 为 )， 累 积 文件 (accumulated file) 保 存 为 .csw 文件 。 

7) 要 将 .CSW 文件 导入 到 TippingPoint 的 安全 管理 系统 ， 单 击 Profiles( 配 置 )， 单 击 DV 
Toolkit Packages(DV 工具 包 )， 然 后 单 击 Import( 导 入 ) 并 选择 .csw 文件 。 导 入 完成 后 ， 单 击 
Activate( 激 活 )， 激 活 完成 后 ， 单 击 Import( 导 入 ) 并 选择 要 分 发 文件 的 设备 。IPS 配置 文件 会 阻 
止 过 滤器 。 
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生成 并 保存 一 个 完整 漏洞 的 导出 文件 CXML), 该 漏洞 由 HP WebInspect 的 Web 应 用 程序 
的 扫描 过 程 中 检测 : 

1) 打开 感 兴趣 的 扫描 (或 单 击 包含 一 个 要 打开 的 扫描 的 选项 卡 )， 然 后 单 击 File( 文 件 )， 
再 依次 单 击 Export( 导 出 ) 和 Protection Rules to Web Application Firewall(Web 应 用 防火 墙 保护 
规则 )， 如 图 7-30 所 示 。 
ExportScantoWeb Application Frewal TT eol 


F Credit Card W00000000000000 = N/A 
加 Address 000)ONW0 = N/A 


图 7-30 ”Web 应 用 防火 墙 保 护 规则 


2) 指定 以 同样 的 方式 擦洗 数据 类 型 ， 如 File 一 Export 一 Scan(“ 文 件 ” 一 “导出 ”一 “ 扫 
描 ”) 选 项 。 控 洗 数据 (Scrub Data) 组 在 默认 情况 下 包含 三 个 不 可 编辑 的 正则 表达 式 函 数 ， 在 字 
符 串 格式 化 中 它们 将 用 一 个 义 替 代 每 个 数字 ， 如 一 个 社会 安全 号 码 、 信 用 卡号 码 或 他 地 址 。 
包括 这 个 搜索 和 替换 函数 的 数据 类 型 ， 选 择 与 其 相关 的 复 选 框 。 

3) 单 击 Export( 导 出 )。 

4) 指定 要 保存 导出 的 数据 ， 然 后 单 击 保存 路 径 和 文件 名 。 当 指定 后 ， 一 个 完整 的 导出 
(CXMD) 文 件 被 保存 。 
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7.2.15 ”导入 扫描 


遵循 以 下 步骤 由 另 一 个 实例 导入 WebInspect 的 扫描 。 

1) 单 击 File( 文 件 )， 再 单 击 Import Scan( 导 入 扫描 )。 

2) 使 用 标准 文件 选择 窗口 ， 从 Files of Type( 文 件 类 型 ) 列 表 中 选择 一 个 选项 : 

e Scan files(*.scan): 扫描 文件 设计 创建 由 WebInspect 7.0 版 本 开始 。 

ee SPA files(*.spa): 扫描 文件 创建 在 WebInspect 7.0 版 本 之 前 推出 。 

3) 选择 一 个 文件 ， 然 后 单 击 Open( 打 开 )。 

如 果 附 件 被 扫描 导出 ， 这 些 附件 将 被 导入 并 保存 在 导入 扫描 的 子 目 录 。 默 认 位 置 是 C\Do 
cuments and Settings\<usemame>\Local Settings\Application Data\HP\HP WebInspect\ScanData 
mports\<DirectoryName>\<filename>， 其 中 DirectoryName 是 导出 /导入 扫描 的 JD 号 。 


7.2.16 运行 AMP 或 Weblnspect Enterprise 扫描 


此 功能 专 为 用 户 设计 , 用 户 更 偏爱 在 WebInspect 中 配置 扫描 ,而 非 在 AMP 或 WebInspect 
Enterprise 中 。 用 户 可 以 修改 设置 ， 并 在 WebInspect 运行 扫描 ， 重 复 这 个 过 程 ， 直 到 达到 用 户 
认定 的 最 佳 设置 。 然 后 ， 可 将 打开 的 扫描 设置 为 AMP 或 WebInspect Enterprise， 它 创建 了 一 个 
扫描 请 求 ， 并 将 它 放 置 在 扫描 队列 中 ， 供 下 一 个 可 用 的 检测 部 件 使 用 。 

1) 打开 扫描 。 

2) 如 果 没 有 连接 到 企业 服务 器 ， 单 击 Enterprise Server 菜单 ， 并 选择 Connect to AMP or 
Connect to WebInspect Enterprise( 连 接 到 AMP 或 连接 到 WebInspect Enterprise)。 

3) 单 击 Scan( 扫 描 ) 菜 单 , 选择 Run in AMP( 在 AMP 中 运行 ) 或 Run in WebInspect Enterprise 
(在 WebInspect Enterprise 中 运行 )( 或 直接 单 击 工 具 栏 上 相应 的 按钮 )。 

4) 如 果 已 连接 到 AMP: 

a) 在 AMP 窗口 运行 扫描 的 Scan Name( 扫 描 名 称 ) 文 本 框 中 ， 键 入 一 个 名 称 ， 或 保留 
名 称 的 空白 ， 让 AMP 指定 名 称 ， 如 图 7-31 所 示 。 

b) 如 果 在 AMP 上 一 个 网 站 存在 与 扫描 对 应 的 URL， 该 网 站 被 默认 选中 。 用 户 可 以 
使 用 相应 的 按钮 更 改 网 站 ， 也 可 以 创建 一 个 网 站 。 


| 当 连 接 到 8.1 或 更 高 版 本 时 ， 除 了 网 站 名 称 外 ， 本 Site( 网 站 ) 列 表 中 还 会 显示 组 织 


a 和 项 目 名 称 。 对 于 AMP 8.0 和 更 早 的 版 本 ， 只 有 列 出 网 站 名 称 。 


Run Scan in AMP. 


Scan Name: ThackScan| 


Site: |Default Organization : Default Project : zero Create 


Assessment: | zero Create 


Cancel 


图 7-31 运行 扫描 的 AMP 窗口 


c) 选择 将 与 此 扫描 相关 联 的 一 个 评估 (可 选 )， 或 单 击 Create( 创 建 ) 创 建 一 个 评估 。 
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本 只 有 WebInspect 连接 到 AMP 9.0 或 更 高 版 本 ， 才 会 启用 评估 。 此 外， 要 建立 一 个 
四 评估 ， 必 须 拥有 AMP 的 管理 权限 。 


qd) 单 击 OK( 确 定 )。 
对 于 AMP 8.0 或 更 早 版 本 ， 必 须 有 权 创建 自 定义 扫描 。 对 于 AMP 8.1 或 更 高 版 本 ， 必 须 
有 权 在 项 目 中 创建 扫描 。 
5) 如 果 已 连接 到 WebInspect Enterprise: 
a) 在 Run Scan in WebInspect Enterprise 对 话 框 中 ， 输 入 扫描 的 名 称 ， 如 图 7-32 所 示 。 
b) 选择 一 个 项 目 和 一 个 项 目 版 本 。 
c) 单 击 OK( 确 定 )。 
如 果 通 过 所 有 的 权限 检查 ， 扫 描 被 创建 ， 并 根据 角色 (最 多 3 个 ， 这 是 默认 的 ) 允 许 的 最 
高 优先 级 给 扫描 分 配 优先 级 。 


属 Run Scan in Weblnspect Enterprise 


Name | 


Project: [Bill Payment Processor v 


Project Version: [1.1 ~ 


图 7-32 Run Scan in WebInspect Enterprise 对 话 框 


7.2.17 ”上传 一 个 扫描 到 企业 服务 器 


使 用 以 下 步骤 从 WebInspect 上 传 一 个 文件 扫描 到 企业 服务 器 (评估 管理 平台 或 WebInspect 
Enterprise)。 
1) 单 击 WebInspect Enterprise Server(WebInspect Enterprise 服务 器 ) 菜 单 ,然后 选择 Upload 
Scan( 上 传 扫 描 )。 
2) 在 上 传 扫描 窗口 中 ， 选 择 扫描 名 称 列 中 的 一 个 或 多 个 WebInspect 扫描 。 要 访问 不 同 
的 数据 库 扫描 , 单 击 Connections( 连 接 ), 然后 在 数据 库 应 用 程序 设置 中 , 在 Connection Settings 
for Scan Viewing( 扫 描 视图 的 连接 设置 ) 下 更 改选 项 。 
3) 如 果 上 传 到 AMP， 从 AMP 的 网 站 列 的 下 拉 列 表 中 为 每 个 扫描 选择 网 站 。 每 次 扫描 
都 必须 分 配 到 一 个 网 站 。 该 计划 试图 选择 匹配 扫描 文件 中 的 “扫描 网 址 ”的 网 站 ， 但 也 可 以 
选择 另 一 个 。 如 果 相 应 的 网 站 不 存在 ， 用 户 可 以 创建 一 个 ( 需 拥有 AMP 权限 )。 
4) 从 评估 栏 的 下 拉 列 表 中 选择 一 个 评估 (如 果 上 传 到 AMP， 则 是 可 选 的 )。 
如 果 一 个 相应 的 评估 不 存在 ， 可 以 通过 以 下 步骤 在 AMP 中 建立 一 个 评估 。 用 户 必 须 具 
有 AMP 权限 才能 创建 评估 。 请 注意 ， 只 有 当 WebInspect 连接 到 AMP 9.0 或 更 高 版 本 时 ， 此 
功能 才 被 启用 。 
a) 单 击 Create Assessment( 创 建 评 估 )。 
b) 选择 与 此 评估 相关 联 的 网 站 。 
c) 为 评估 输入 一 个 名 称 和 (可 选 ) 描 述 。 


d) 单 击 OK( 确 定 )。 
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5) 如 果 上 传 到 WebInspect Enterprise， 从 相应 的 下 拉 列 表 中 为 每 个 扫描 选择 一 个 项 目 和 


项 目 版 本 。 


该 计划 试图 选择 匹配 扫描 文件 中 “扫描 网 址 ”的 项 目 和 项 目 版 本 ， 但 用 户 也 可 选择 另 一 


个 若 人 Rs 
6) 单 击 Upload( 上 传 )。 


仅 当 WebImspect 连接 到 AMP 8.1 及 更 高 版 本 ， 才 会 选中 Show Organizations and Projects 


(显示 组 织 和 项 目 ) 复 选 框 。 
7.2.18 ”管理 设置 


此 功能 允许 用 户 创建 、 编 辑 、 删 除 、 导 入 和 导出 扫描 设置 文件 。 
户 也 可 以 载 入 和 保存 设置 ， 然 后 从 默认 设置 窗口 恢复 出 厂 默 认 设置 。 单 击 


注意 : 
Edit( 编 辑 )， 再 单 击 Default Scan 


1) 从 WebInspect 编辑 菜单 选择 Manage Settings( 管 理 设置 )。 打 开 管理 设置 窗 


7-33 所 示 。 


Settings( 预 设 扫描 设置 )。 


Janage Settings 


Settings Files: 


Default,xml 


Halloween,xml 
JDTcrawlonly,xml 
stepModesettings,xml 


2) 要 创建 一 个 设置 文件 : 
a) 单 击 Add( 添 加 )。 


图 7-33 Manage Settings 窗口 


b) 在 创建 新 的 设置 窗口 中 ， 更 改 设置 。 
c) 当 完成 后 ， 单 击 OK( 确 定 )。 


qd) 用 一 个 标准 的 文件 选择 对 话 框 ， 命 名 并 保存 文件 。 


3) 要 编辑 设置 文件 : 

a) 选择 一 个 文件 。 

b) 单 击 Edit( 编 辑 )。 
c) 在 创建 新 的 设置 窗 


er 


中 ， 更 改 设置 。 


qd) 完成 后 ， 单 击 OK( 确 定 )。 


， 如 图 
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4) 要 删除 设置 文件 : 
a) 选择 一 个 文件 。 
b) 单 击 Delete( 删 除 )。 
5) 要 导入 一 个 设置 文件 : 
a) 单 击 Import( 导 入 )。 
b) 使 用 一 个 标准 文件 选择 对 话 中 ， 选 择 一 个 设置 文件 并 单 击 Open( 打 开 )。 
6) 要 导出 一 个 设置 文件 : 
a) 选择 一 个 文件 。 
b) 使 用 一 个 标准 文件 选择 对 话 框 ， 选 择 一 个 设置 文件 并 单 击 Save( 保 存 )。 
要 使 用 保存 的 设置 文件 扫描 : 
1) 从 WebInspect 编辑 菜单 中 ， 选 择 Default Settings( 默 认 设置 )。 
2) 在 左 侧 栏 中 默认 设置 窗口 的 底部 ， 单 击 Load settings from file( 从 文件 加 载 设置 )。 
3) 使 用 一 个 标准 文件 选择 对 话 框 ， 选 择 要 使 用 的 设置 文件 ， 单 击 Open( 打 开 )。 选 择 的 
文件 就 是 默认 设置 文件 。 


7.2.19 ”管理 扫描 


此 功能 允许 打开 、 重 命名 或 删除 包含 以 前 扫描 结果 的 文件 。 也 可 以 选择 一 个 数据 库 ， 本 
地 (扫描 在 用 户 机 器 上 配置 了 SQL Server 2008 Express 数据 库 列表 ) 或 远程 (扫描 在 服务 器 上 或 
网 络 上 配置 了 SQL Server 2008 Standard 数据 库 列 表 )， 或 选择 两 者 。 在 开始 页 面 选 项 卡 上 ， 
单 击 Manage Scans( 管 理 扫描 )， 如 图 7-34 所 示 。 


Home TEST ET 站 ] 


图 7-34 管理 扫描 


扫描 列表 会 出 现在 开始 页 面 右 侧 窗 格 中 。 

默认 情况 下 , WebInspect 在 用 户 机 器 上 列 出 所 有 存储 在 SQL Server Express 和 SQL Server 
标准 版 (如 果 配 置 ) 的 扫描 。 扫 描 的 当前 状态 显示 在 状态 栏 中 。 

用 户 根据 喜好 可 以 基于 列 标题 的 分 类 对 扫描 进行 分 组 (可 选 )。 只 需 拖 动 标题 ， 并 将 其 放 
到 分 组 区 域 即 可 。 

用 户 也 可 以 执行 大 部 分 功能 ， 要 生成 一 个 报告 ， 通 过 右键 单 击 一 个 条 目 ， 然 后 从 快捷 菜 
单 中 选择 命令 。 


7.2.20 ”管理 计划 扫描 


用 户 可 以 指示 WebInspect 在 一 个 指定 的 时 间或 日 期 进行 评估 。 选 择 选 项 和 设置 保存 在 一 
个 特殊 文件 中 ， 通 过 Windows 服务 器 启动 WebInspect( 如 有 必要 )， 并 启动 扫描 访问 。 

注意 : 计划 扫描 完成 后 , 不 会 在 WebInspect 开始 页 面 的 最 近 扫描 列表 中 显示 。 要 在 完成 
后 访问 计划 扫描 ， 选 择 开 始 页 面 ， 然 后 单 击 Manage Scans( 管 理 扫描 )。 

1) 在 开始 页 面 选项 卡 上 ， 单 击 Manage Schedule( 管 理 计 划 )， 如 图 7-35 所 示 。 
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Home ) Manage Scans BManasesehedule 
图 7-35 管理 计划 


WebInspect 列 出 所 有 的 计划 扫描 ， 包 括 那些 已 经 运行 的 计划 扫描 。 

2) (可 选 ) 用 户 可 以 根据 喜好 对 计划 扫描 在 基于 列 标题 的 分 类 上 进行 分 组 。 只 需 拖 动 标题 ， 
并 将 其 放 到 分 组 区 域 即 可 。 

3) 使 用 工具 栏 按钮 来 执行 下 列 功能 ， 如 图 7-36 所 示 。 


中 Add /Edit x Delete [> Start 因 Stop © Refresh | 


图 7-36 工具 栏 按钮 


1. 计划 一 个 扫描 

1) 执行 下 列 操作 之 一 : 

e 在 WebInspect 开始 页 面 ， 单 击 Manage Schedule( 管 理 计 划 )。 
。 单 击 File( 文 件 )， 青 单 击 Schedule( 计 划 )。 

计划 扫描 列表 会 显示 在 开始 页 面 的 右 窗 格 中 ， 如 图 7-37 所 示 。 


Ea Start a Guided Scan 


Create a scan that is optimized for your Web she. 


Recurrence Last Run Tme Last Run Status 
ime: Next Weck (1 tem) 


Site httpy/zerowe- Site First Sunday ofeac Not Yet Run 


a Web Service 


Ineranilhesin a Weh comice, 


Generate a Report 


Analyze a scan using system reports. 


Start SmartUpdate 


Jpdate secunity checks and patches. 


图 7-37 计划 扫描 列表 


2) 单 击 Add( 添 加 )。 
3) 在 扫描 组 的 类 型 ， 请 选择 下 列 操作 之 一 : 
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e 网 站 扫描 

e@ Web 服务 扫描 

e 企业 扫描 

4) 指定 希望 进行 的 扫描 。 选 项 包括 : 

。 立即 [Immediately)。 

e 运行 一 次 (Run Once): 当 扫 描 开 始 时 修改 日 期 和 时 间 。 用 户 可 以 单 击 下 拉 箭 头 以 便 在 

历 中 选择 日 期 。 

e@ 重复 计划 (Recurrence Schedule): 使 用 滑 块 来 选择 一 个 频率 (每 日 、 每 周 或 每 月 )。 然 后 
指定 扫描 开始 的 时 间 ( 对 于 每 周 或 每 月 ) 以 及 提供 其 他 计划 信息 。 

5) 单 击 Next( 下 一 步 )。 

6) 选择 扫描 类 型 的 输入 设置 。 

7) 仅 对 网 站 和 Web 服务 扫描 ， 用 户 可 选择 在 扫描 结束 后 生成 报告 : 

e@ ”选择 Generate Reports( 生 成 报告 )， 然 后 单 击 Select a Report 超 链 接 。 

e 继续 选择 报告 (下 一 步 中 )。 

8) 计划 扫描 不 生成 报告 ， 单 击 Schedule( 计 划 )。 


2. 选择 一 个 报告 
如 果 选 择 计划 扫描 中 包括 一 个 报告 将 显示 Select a Report 对 话 框 ， 如 图 7-38 所 示 。 


而 Scheduled Scan Report Wizard 同 民 ) 


Select a Report 
Select the reports you would like to run after the scan finishes Step 1 of 2 


Favorites: | 
Standard Reports 
口 sooregate 

回 Wert View 

口 Atack Status 

口 complance 

回 cawled URLS 

DD Developer Reference 
口 Duplicates 

口 Executive Summary 
False Positive 

口 aa summam 

口 san Difference 

口 san Log 

口 Tend 

OD vulnerabiity 


汞 


口 winerabiley (Legacy) 


图 7-38 Selecta Report 对 话 框 
1) 从 收藏 夹 列表 选择 报告 (可 选 )。 
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一 个 “收藏 夹 ” 仅 是 一 个 或 多 个 报告 及 其 相关 参数 的 命名 集合 。 要 创建 一 个 最 喜欢 的 选 
定 报告 和 参数 ， 单 击 Favorites( 收 藏 夹 ) 列 表 ， 然 后 选择 Add to favorites( 添 加 到 收藏 夹 )。 

2) 选择 一 个 或 多 个 报告 。 

3) 对 任何 参数 提供 的 信息 都 是 必需 的 。 必 需 的 参数 用 红色 标 出 。 

4) 单 击 Next( 下 一 步 )。 

出 现 Configure Report Settings 对 话 框 ， 如 图 7-39 所 示 。 


而 Scheduled Scan Report Wizard 


Configure Report Settings 
Select options below to use when generating the report(s) Step 2 of 2 
Options 


国 Automatically generate filename | aldoe 


© Aggregate reports into one report 


Headers and Footers 
Header/Footer Report: | HP Default ~ 


Cover page title: Web Application Assessment Report 
Cover page footer: 


Content page footer: | Hewlett Packard, Inc. 


Cover page image: Use custom image 


图 7-39 Configure Report Settings 对 话 框 


1) 如 果 选 择 Automatically Generate Filename( 自 动 生成 文件 名 )， 该 报告 文件 的 名 称 将 被 
格式 化 为 <reportname><date/time>.<extension>。 例 如 ， 如 果 创 建 PDF 格式 的 合 规 报告 ， 并 在 
4 月 5 日 6:30 生成 报告 ,文件 名 是 “ 合 规 报告 04_05_200906_30.pdf”。 这 对 经 常 性 的 扫描 ， 
非常 有 用 。 

报告 被 写 于 应 用 程序 设置 生成 报告 的 指定 目录 中 。 

2) 如 果 没 有 选择 Automatically Generate Filename( 自 动 生成 文件 名 )， 在 文件 名 框 中 输入 
文件 名 。 

3) 从 Export Format( 输 出 格式 ) 列 表 中 选择 报告 格式 。 

4) 如 果 选 择 了 多 个 报告 , 则 可 以 通过 选择 Aggregate reports into one report( 汇 总 报告 合并 
为 一 个 ) 来 汇总 报告 。 

5) 选择 用 于 报告 定义 的 页 眉 和 页 脚 的 模板 ， 如 有 必要 ， 提 供 所 需 的 参数 。 
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6) 单 击 Finished( 完 成 )。 
7) 单 击 Schedule( 计 划 )。 


要 在 运行 时 停止 计划 扫描 ， 请 从 管理 计划 列表 中 选择 扫描 ， 并 单 击 四 stop (或 右键 单 击 
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| 


扫描 ， 然 后 从 快捷 菜单 中 选择 Stop Scan( 停 止 扫描 ))。 


重新 启动 一 个 停止 扫描 ， 请 从 管理 计划 列表 中 选择 扫描 ， 并 单 击 代 Start (或 右键 单 


击 扫描 ， 然 后 从 快捷 菜单 中 选择 Start Scan( 开 始 扫描 ))。 


7.2.21 生成 报告 


按照 下 面 的 步骤 对 已 运行 的 扫描 生成 报告 。 这 个 步骤 并 不 适用 于 计划 扫描 。 
1) 单 击 WebInspect 工具 栏 上 的 Reports( 报 告 )， 然 后 单 击 Generate Report( 生 成 报告 )， 或 


在 WebInspect 开始 页 面 上 单 各 


上 Generate a Report( 生 成 报告 )， 此 时 将 显示 一 个 报告 窗口 。 


2) 选择 一 个 或 更 多 扫描 (通过 名 称 、URL 或 人 P 地 址 指定 )。 
3) 单 击 Advanced( 高 级 )( 可 选 ， 位 于 窗口 底部 )， 选 择 要 保存 的 报告 以 及 页 周 和 页 脚 模板 


选项 。 
4) 单 击 Next( 下 一 步 )。 


5) 从 收藏 夹 列表 选择 报告 (可 选 )。 


6) 选择 一 个 或 多 个 报告 : 


e 合计 (Aggregate): 此 报告 可 让 用 户 组 合 多 台 服 务 器 的 扫描 结果 。 它 列 出 漏洞 总 数 ， 并 
按 严重 程度 显示 相关 的 条 形 图 ， 还 列 出 每 个 服务 器 的 漏洞 。 
e 警报 视图 (Alert View): 每 次 成 功 的 攻击 代理 和 相关 漏洞 的 列表 (作为 信息 显示 在 摘要 


窗 格 中 的 警报 选项 卡 


上 )。 


e 攻击 状态 (Attack Status): 列 出 漏洞 了 P 号 、 检 查 名 称 以 及 所 有 攻击 代理 的 严重 等 级 。 


e 合 规 性 (Compliance): 


本 报告 提供 等 级 来 使 用 户 的 申请 符合 某 些 政府 法 规 或 公司 指导 


方针 。 用 户 必须 首先 创建 一 个 合 规 的 模板 。 

e 爬行 网 址 (Crawled URLs): 对 于 疏 行 过 程 中 遇 到 的 每 一 个 URL, 该 报告 列 出 了 发 送 的 
Cookie 和 原始 的 HITP 请 求 和 响应 。 

注意 : 如 果 WebInspect 无 法 完成 这 项 报告 或 者 报告 生成 极为 缓慢 ， 修 改 报告 如 下 : 


1) 打开 报告 设计 器 。 


2) 打开 疏 行 的 网 址 : 非 唯一 子 报表 。 
3) 对 于 GroupHeaderRequest 和 GroupHeaderResponse 下 方 的 RichTextBoxes，MaxLength 


属性 设置 为 4096。 
4) 保存 报告 。 


。 开发 人 员 参 考 (Developer Reference): 每 个 表单 的 总 计 和 详细 说 明 ， 包 括 JavaScript、 
电子 邮件 、 评 论 、 隐 藏 控制 和 网 站 上 发 现 的 Cookie， 用 户 可 以 选择 其 中 一 个 或 多 个 


引用 类 型 。 


。 重复 (Duplicates): 该 报告 包含 关于 漏洞 的 信息 ， 由 SecurityScope 进行 检测 ， 可 以 追 
溯 到 同一 来 源 ， 其 中 首先 列 出 不 相关 漏洞 总 数 和 独特 漏洞 数量 的 柱状 图 对 比 。 
e 内 容 提要 (Executive Summary): 基本 统计 资料 , 加 上 能 反映 用 户 漏洞 应 用 程序 水 平 的 


第 7 章 ”WebInspect 应 用 实践 。245 。 


误 报 (False Positives): 显示 原本 归 类 为 漏洞 的 URL 信息 ， 但 后 来 用 户 确定 是 误 报 。 
QA 摘要 (QA Summary): 含 断 开 的 链接 、 服 务 器 错误 、 外 部 链接 和 超时 的 所 有 页 面 
URL 列表 。 可 选择 其 中 一 个 或 多 个 类 别 。 

扫描 差异 (Scan Difference): 该 报告 比较 了 两 种 扫描 和 报告 差异 ， 如 漏洞 、 页 面 和 发 
生 在 一 个 网 站 上 文件 未 找到 的 回应 。 

扫描 日 志 (Scan Log): 在 扫描 期 间 ( 作 为 信息 显示 在 摘要 窗 格 的 扫描 日 志 选 项 卡 上 ) 由 
WebInspect 执行 活动 的 顺序 列表 。 

趋势 (Trend): 此 报告 可 让 用 户 监控 开发 团队 解决 漏洞 的 进展 。 例 如 ， 用 户 可 以 检查 
初始 扫描 结果 和 团队 何 时 开始 修复 这 些 问 题 。 然 后 每 周一 次 ， 重 新 扫描 该 网 站 和 归 
档 结果 。 量 化 进度 ， 生 成 一 个 趋势 报告 ， 分 析 迄 今 为 止 进行 的 所 有 扫描 结果 。 该 报 
告 包括 显示 漏洞 数量 的 图 表 ， 按 严重 程度 ， 将 每 次 扫描 进行 的 日 期 定义 在 一 个 时 间 
轴 上 。 重 要 提示 : 为 确保 获得 可 靠 结果 ， 每 次 扫描 时 使 用 相同 的 策略 。 

漏洞 (Vulnerability): 每 个 漏洞 ( 按 严重 程度 选择 ) 的 详细 报告 和 解决 方案 的 建议 。 
漏洞 (遗留 (Vulnerability(Legacy)): 每 个 漏洞 的 详细 报告 ， 以 及 有 关 的 补救 建议 。 


5) 任何 参数 的 提供 信息 可 能 会 被 请 求 ， 一 个 感叹 号 表示 一 个 必需 的 参数 。 

6) 如 果 想 制作 单独 选项 卡 (而 不 是 合并 在 一 个 选项 卡 的 所 有 报告 ) 的 个 别 报告 ,选择 Open 
Reports in Separate Tabs( 在 单独 选项 卡 上 打开 报告 )。 

7) 单 击 Finish( 完 成 )， 如 图 7-40 所 示 。 


Hm， | 旬 | 魏 | 和 加 全 | 象 估 加 -~ 
[rere or oncens 


x[ 


图 7-40 生成 的 报告 


WebInspect 生成 报告 和 显示 选项 卡 后 ， 可 以 通过 单 击 按钮 来 保存 报告 。 
报告 可 保存 为 下 列 格式 : 


Adobe 便携 式 数据 格式 (PDF) 
超 文 本 标记 语言 (HTML) 
本 机 WebInspect 的 内 部 格式 
RIF 格式 (RTF) 

文本 (TXT) 

微软 的 Excel(XLS) 
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单 击 Advanced( 高 级 )( 位 于 生成 报告 窗口 的 底部 )， 选 择 保存 报告 ， 并 设置 页 由 和 页 脚 模 
板 选 项 ， 如 图 7-41 所 示 。 
灾 Advanced Report Options 
Options 


同 Save reports to disk 


园 Automatically generate filename 


Headers and Footers 
Header/Footer Report: | HP Default v 


Cover page tite: Web Application Assessment Report 
Cover page footer: 
Content page footer: ©| Hewlett Packard, Inc. 


Cover page image: [DUse custom image 


图 7-41 高 级 报告 选项 


Save repores to disk (报告 保存 到 磁盘 ): 选择 此 选项 可 将 报告 保存 到 磁盘 中 。 

Automatically generate filename (自动 生成 文件 名 ): 将 报告 保存 到 磁盘 时 选择 此 选项 ， 该 
报告 文件 的 名 称 将 被 格式 化 为 <reportname><date/time>.<extension>。 例 如 ， 如 果 创 建 PDF 格 
式 的 合 规 报 告 ,并 在 4 月 5 日 6:30 生成 报告 , 文件 名 是 “ 合 规 报告 04_05_200906_30.pdf。” 
这 对 重复 性 的 扫描 非常 有 用 。 

如 果 选 择 一 个 以 上 的 报告 类 型 ， 然 后 <reportname> 将 是 “联合 报告 ”。 

报告 存放 于 应 用 程序 设置 生成 报告 的 指定 目录 中 。 

如 果 不 选择 Automatically generate filename( 自 动 生成 文件 名 )， 用 一 个 文件 名 替换 默认 的 

“自动 根 文件 名 ”。 
导出 格式 ， 选择 一 个 报告 格式 。 
页 眉 和 页 脚 : 选择 报告 的 页 眉 和 页 脚 格式 ， 然 后 输入 或 选择 组 件 。 


7.2.22 许可 证 管理 


首次 安装 成 功 并 启动 WebInspect 后 ,系统 会 提示 输入 惠普 发 送 给 用 户 的 许可 证 令 牌 。 在 
输入 令 牌 和 客户 信息 后 ， 应 用 程序 连接 HP 服务 器 并 下 载 用 户 特定 的 安装 许可 证 信息 。 
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有 两 种 方法 可 以 控制 WebInspect 的 许可 证 : 
。 直接 连接 到 HP 公司 的 许可 证 服务 器 。 
。 连接 到 本 地 许可 证 和 基础 设施 管理 。 


1. 修改 许可 证 


1) 单 击 Edit( 编 辑 )， 再 单 击 Application Settings( 应 用 程序 设置 )。 
2) 选择 License( 许 可 证 ) 类 别 。 
连接 到 HP， 如 图 7-42 所 示 。 


Application Settings 


5 WebInspect Hem bath 


General Licensing Method: Direct to HP corporate license server 

Database Activation Token: «4j5532j2-333d-3333-9999-2k8c930fde99 

Directories Expiration Date: & 12/30/9999 2:00:00 PM Order Number: HPINT-WebInspect 
中 License Maintenance Date: 9/9/2013 4:00:00 PM SAID: 777777777777 

Server Profiler Last Updated: C12/8/2010 8:07:58 AM 

Step Mode Purchaser: 

Loggng 

Proxy 

Reports 


EY Connections 
AMP 
Smart Update 
Support Channel 
HP Quality Center 


IBM Rational ClearQuest [Configure Licensing... 


图 7-42 许可 证 管理 界面 


2. 更 新 许可 证 


如 果 是 试用 版 升级 或 以 其 他 方式 修改 许可 证 ， 则 单 击 Update( 靠 近 右 下 角 的 超 链接 ) 来 更 
新 许可 证 。 该 应 用 程序 将 在 计算 机 上 再 次 连接 HP 服务 器 和 更 新 本 地 存储 的 信息 。 


3. 停 用 许可 证 


WebInspect 可 以 授权 被 分 配 到 特定 的 计算 机 。 如 果 想 将 许可 证 转移 到 其 他 电脑 : 

1) 复制 激活 令 牌 。 

注意 : 为 避免 丢失 或 志 记 激活 令 牌 ， 建 议 书写 或 打印 保存 。 

2) 单 击 Deactivate( 停 用 )。 

3) 在 男 一 台 已 成 功 安装 WebInspect 的 电脑 上 ， 进 入 WebInspect 的 许可 证 设置 并 输入 激 
活 令 牌 。 
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7.2.23 ”命令 行 执行 

用 户 可 通过 使 用 程序 WLexe 一 个 命令 行 界面 启动 多 个 WebInspect 功能 。 键 入 命令 时 ， 
请 使 用 以 下 语法 ， 如 图 7-43 所 示 : 

wiexe -uurl [-s file] [-ws file] [-Framework name] [-CrawlCoverage name][-ps policyID | -pe path] 
-ablanlamlad|aalak {creds}] [-olc][-n name] [-e[abedefghiiklmno] file] [-xlxdlxalxn] [-b filepath] [-v] [-?] [-r 


report_name -y report_type -W report_favorite -freport_export_file -g[phacxe][-t 
compliance_template file]] [-d filepath -m filename][-i scanid] [-ir scanid] [-db] 


图 7-43 使 用 WLexe 命令 行 界面 启动 多 个 WebInspect 功能 


要 在 命令 行 中 运行 多 个 扫描 ， 创 建 并 执行 一 个 批 处 理 文件 ， 使 用 类 似 于 下 面 的 代码 ， 如 
图 7-44 所 示 : 
a \program files\HP\HP Webinspect 
wi.exe -u http://172.16.60.19 -ps 4 
wi.exe -u http://www.mywebsite.com 


wi.exe -u http://172.16.60.17 
wi.exe -u http://172.16.60.16 


图 7-44 ”运行 多 个 扫描 创建 并 执行 一 个 批 处 理 文件 
内 容 如 表 7-10 所 定义 ， 斜 体 项 是 要 求 的 值 。 


表 7-10_ 命 令 行 语法 


显示 用 法 

URL (include host/port/scheme) 

注意 1: 当 使 用 -s( 设 置 文件 ) 的 -u 参数 时 ， 一 定 要 指定 -x、-xa、 
-xd、 或 -xn 参数 来 限制 扫描 文件 夹 。 如 果 不 这 样 做 , 可 能 导致 
在 一 定 条 件 下 无 限制 的 审计 。 

注意 2: 如 果 URL 中 包含 一 个 符号 (&), 则 必须 用 引号 把 URL 
括 起 来 

设置 文件 

注意 : 设置 文件 中 命令 行 参数 优先 于 值 

仅 审 计 

仅 息 行 

限制 到 根 文件 夹 

限制 到 目录 和 上 一 级 目录 

限制 到 目录 和 子 目录 

忽略 “限制 到 文件 夹 ”规则 中 引用 的 设置 文件 

n {name} 扫描 名 称 


通常 


u {url} 


s {filename} 


b {flepath} 使 用 给 定 的 SecureBase 文件 


d {flepath} 将 数据 库 移动 到 文件 路 径 
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会 和 
类 别 | 参数 | 定义 
将 数据 库 移动 到 文件 名 
扫描 识 别 码 (GUID) 


使 用 非 自 定义 策略 ， 相 应 值 的 了 D 是 : 
二 = 标准 
2= 突 击 
3=SOAP 
4= 快 速 
安全 
6 发 展 
i 7= 空 白 
ps {i 

审核 策略 SS 
17= 应 用 
18= 平 台 
1001=SQL 注入 
1002= 跨 站 脚本 
1003=OWASP Top 10 项 目 
1004= 所 有 检查 
1005= 被 动 


使 用 自 定义 策略 ， 指 定 完整 的 路 径 和 文件 名 ， 如 : 
C: \MyPolicies\ MyCustomPolicy.policy 
基本 模式 (用 户 各 和 密码 ) 
NTLM 模式 (用 户 名 和 密码 ) 
本 摘要 模式 (用 户 名 和 密码 ) 
自动 模式 (用 户 名 和 密码 ) 
Kerberos 的 模式 (用 户 名 和 密码 ) 


参数 


m {filename} 网 络 宏 认 证 (路 径 宏 ) 
Ea {filepath} 在 完整 XML 格式 的 导出 扫描 


eb {filepath} 在 XML 中 导出 扫描 的 详细 信息 (全 ) 
ec {filepath} 在 XML 中 导出 扫描 的 详细 信息 (评论 ) 
ed {filepath} 在 XML 中 导出 扫描 的 详细 信息 (隐藏 域 ) 
ee {filepath} 在 XML 中 导出 扫描 的 详细 信息 (脚本 ) 
输出 ef {filepath} 在 XML 中 导出 扫描 的 详细 信息 (设置 Cookie) 


eg {filepath} 在 XML 中 导出 扫描 的 详细 信息 (Web 窗 体 ) 


eh {filepath} 在 XML 中 导出 扫描 的 详细 信息 (URL) 


ei {filepath} 在 XML 中 导出 扫描 的 详细 信息 (请 求 ) 
ej {filepath} 在 XML 中 导出 扫描 的 详细 信息 (会 话 ) 


ek {filepath} 在 XML 中 导出 扫描 的 详细 信息 (电子 邮件 ) 
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定 义 
在 XML 中 导出 扫描 的 详细 信息 (参数 ) 
在 XML 中 导出 扫描 的 详细 信息 (网 络 转 储 ) 


en {folderpath} 


在 XML 中 导出 扫描 的 详细 信息 (异地 链接 ) 


MA 


详细 


值 名 称 : 

合计 

警报 视图 

攻击 状态 

合 规 性 

让 行 的 网 址 

执行 摘要 

误 报 

QA 摘要 

趋势 

漏洞 概要 

漏洞 (遗留 ) 

报告 的 类 型 (“标准 ”或 “ 自 定义 ”) 
保存 报告 文件 的 路 径 ( 完 整 路 径 和 文件 名 ) 
导出 为 PDF 

导出 为 HTML 文件 (ZIP 文件 ) 

出 为 原始 报告 文件 
出 为 TIFF 图 像 
出 为 富 文本 文件 


T {name} 


对 于 多 个 报告 ， 
分 隔 报告 名 称 。 
告 都 将 被 包含 在 一 个 文 
件 中 


用 分 号 
所 有 报 


如 | 名 | | 


为 文本 
为 Excel 文件 
用 指定 的 合 规 性 模板 文件 


a 


如 果 不 指定 策略 ，WebInspect 将 候 行 (但 不 是 审计 ) 网 站 。 

如 果 指 定 了 一 个 不 存在 的 策略 名 称 ，WebInspect 将 不 进行 扫描 。 

启动 命令 行 的 命令 : 

1) 从 Windows 开始 菜单 中 选择 Run( 运 行 )。 

2) 在 打开 框 中 键入 cmd。 

3) 单 击 OK( 确 定 )。 

4) 导航 到 安装 WebInspect 的 目录 。 默 认 目 录 为 C: \Program Files\ HP\ HP WebInspect。 

在 对 长 文件 名 进行 妥善 处 理 过 程 中 ， 因 为 它 出 现在 任务 管理 器 ， 是 WLexe。 扫 描 数 据 将 
暂时 缓存 在 工作 目录 中 ， 然 后 移动 到 扫描 目录 。 

仅 当 参 数 括 在 双 引 号 中 ， 可 使 用 连 字符 的 命令 


家 


了 参数 (输出 文件 等 )， 如 下 面 所 示 的 “ 导 
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出 路 径 ” 命 令 : 
wi.exe -u http://zero.webappsecurity.com -ea "c:\temp\command-line-test-export.xml" 


7.2.24” 逢 载 Weblnspect 


卸载 时 ， 用 户 可 选择 修复 WebInspect 或 从 计算 机 中 删除 它 。 
如 果 选 择 Remove( 删 除 )， 用 户 可 选择 以 下 一 个 或 两 个 选项 : 


彻底 删除 产品 (Remove product completely): 删除 WebInspect 应 用 程序 和 所 有 相关 文 
件 ， 包 括 扫 描 存 储 在 本 地 ( 非 共 享 )SQL 服务 器 上 的 数据 、 设 置 文件 和 日 志 。 

停 用 许可 证 (Deactivate license): 发 布 WebInspect 许可 证 ， 它 允许 将 WebInspect 安装 
在 不 同 的 电脑 ， 而 且 应 用 数据 和 文件 不 会 被 删除 。 


7.3 “扫描 一 个 网 站 


更 新 数据 库 并 准备 扫描 后 ， 用 户 就 可 以 确定 Web 应 用 程序 的 安全 漏洞 。 

按照 下 面 的 步骤 来 开始 扫描 : 

在 WebInspect 菜单 栏 上 ， 单 击 File( 文 件 )， 再 单 击 New( 新 建 )。 或 在 WebInspect 工具 栏 
上 ， 单 击 工具 栏 上 的 新 建 下 拉 箭 头 。 然 后 选择 要 进行 扫描 的 类 型 。 选 项 包括 : 


7.3.1 


向 导 扫 描 (Guided Scan) 

基础 扫描 (Basic Scan) 

Web 服务 扫描 (Web Service Scan) 
企业 扫描 (Enterprise Scan) 


向 导 扫 描 


当 启动 向 导 扫描 时 ， 计 划 显 示 在 左 窗 格 中 ， 当 用 户 指定 设置 扫描 后 ， 用 户 可 以 很 容易 地 


看 到 计划 。 


在 右 窗 格 中 显示 每 个 向 导 页 上 的 扫描 选项 ， 如 下 所 示 : 


步骤 1: 指定 连接 和 扫描 类 型 ;指定 网 站 进行 扫描 和 验证 连接 


1) 验证 网 站 (Verify Web Site) 
2) 选择 扫描 类 型 (Choose Scan Type) 


2 


Wer 


C= 


a) 标准 扫描 (Standard Scan)。 使 用 StartURL 开始 爬行 和 /或 审计 网 站 。 

b) 工作 流 扫描 (Workflows Scan)。 使 用 预先 录制 的 宏 ， 开 始 爬 行 和 /或 审计 网 站 。 
步骤 2: 登录 - 指定 身份 验证 设置 

验证 网 站 (Verify Web Site) 

a) 网 络 身份 验证 (Network Authentication) 

b) 客户 端 证 书 (Client Certificates) 

应 用 程序 身份 验证 

a) 选择 登录 宏 (Select Login Macro) 

b) 记录 /编辑 登录 宏 (Record/Edit Login Macro) 
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e 步骤 3: 配置 主动 学 习 设 置 : 指定 优化 任务 
1) 个 人 网 站 的 最 佳 设 置 (Profile your site for optimal settings) 
2) 增强 覆盖 网 站 (Enhance coverage of your site) 
e 步骤 4: 查看 设置 
1) 最 终 检 阅 (Final Review) 
a) 配置 详细 选项 (Configure Detailed Options) 
b) 验证 设置 和 开始 扫描 (Validate Settings and Start Scan) 


1. 步骤 1: 指定 链接 和 扫描 类 型 


要 启动 向 导 扫描 ， 验 证 连接 ， 并 完成 网 站 设置 : 
1) 在 主页 上 ， 单 击 左 侧 导航 窗 格 中 的 Starta Guided Scan( 开 始 向 导 扫描 )。 向 导 扫描 指导 
会 在 左 窗 格 中 出 现 选择 扫描 类 型 页 与 突出 显示 的 参数 。 
2) 在 Start URL 框 中 ， 键 入 或 选择 网 站 完整 URL 或 他 地 址 进行 扫描 。 
3) 要 限制 一 个 区 域 的 扫描 范围 (可 选 )， 选 择 限 制 到 文件 夹 复 选 框 ， 然 后 从 列表 中 选择 以 
ee 仅 目 录 (Directory only (selb): WebInspect 将 仅 候 行 和 /或 审计 指定 的 URL。 例 如 ， 如 
果 选 择 了 此 选项 , 并 指定 www.mycompany/one/two/ 的 URL, WebInspect 将 只 评估 “两 
个 ”目录 。 
e 日 录 和 子 目 录 (Directory and subdirectories): WebInspect 开始 爬行 和 /或 审计 指定 的 
URL， 但 不 会 访问 较 高 目录 树 中 的 任何 目录 。 
e 目录 和 父 目 录 (Directory and parent directories): WebInspect 开始 息 行 和 /或 审计 指定 的 
URL， 但 不 会 访问 较 低 目录 树 中 的 任何 目录 。 
4) 单 击 Verify( 验 证 )。 
5) 如 果 必 须 通过 代理 服务 器 访问 目标 网 站 ， 在 主屏 幕 左下 角 显 示 代 理 设 置 区 域 ， 单 击 
Proxy( 代 理 ) 服 务 器 。 
当 网 站 或 目录 结构 出 现时 ， 已 成 功 连接 到 Start URL。 
6) 单 击 Next( 下 一 步 )。 在 选择 扫描 类 型 窗口 中 选择 扫描 类 型 。 
扫描 类 型 
1) 选择 以 下 扫描 类 型 之 一 : 
。 标准 扫描 (Standard Scan): WebInspect 从 目标 URL 开始 进行 自动 分 析 , 这 是 正常 方式 
开始 新 的 扫描 。 
e 工作 流 扫描 (Workflows Scan) : 如 果 选 择 此 选项 ， 会 出 现 额 外 的 工作 流 区 域 ， 显 示 已 
创建 的 工作 流 表 。 
2) 如 果 选 择 Standard Scan( 标 准 扫描 )， 然 后 键入 或 在 开始 的 URL 框 中 选择 完整 的 URL 
或 他 地 址 。 
3) 如 果 选 择 Workflows Scan( 工 作 流 扫描 )， 工 作 流 部 分 会 出 现在 左 窗 格 中 。 
4) 要 完成 工作 流 设 置 ， 请 单 击 在 工作 流 表 如 下 的 任意 一 项 : 
e 记录 (Record): 打开 统一 的 Web 宏 录 制 器 ， 人 允许 创建 一 个 宏 。 
e 编辑 (Edib: 打开 统一 的 Web 宏 录 制 器 ， 加 载 选 定 的 宏 。 
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e 删除 (Delete)j: 删除 选 定 的 宏 ( 但 不 会 从 磁盘 中 删除 )。 

e 导入 (Import): 打开 一 个 标准 的 文件 选择 窗口 ， 选 择 一 个 以 前 录制 的 宏 。 

e 导出 (Export): 打开 一 个 标准 的 文件 选择 窗口 ， 允 许 保存 录制 宏 。 在 一 个 宏 被 选中 或 

记录 后 ， 用 户 可 选择 性 地 指定 允许 主机 。 

5) 在 扫描 方法 区 域 ， 选 择 扫 描 方 式 (包括 仅 候 行 、 息 行 和 审计 、 仅 审计 )。 

6) 在 策略 区 域 ， 从 策略 列表 中 选择 策略 。 

7) 单 击 Next( 下 一 步 ), 此 时 在 左 窗 格 中 将 突出 显示 登录 页 面 与 Network Authentication( 网 
络 身份 验证 )。 


2. 步骤 2: 登录 -指定 身份 验证 设置 


如 果 网 站 需要 网 络 身份 验证 ， 请 执行 以 下 操作 : 

1) 在 网 络 验证 区 域 中 ， 选 择 一 种 身份 验证 方法 ， 然 后 输入 Client Certificate( 网 络 凭据 )。 
2) 要 进行 网 络 身份 验证 ， 选 择 使 用 客户 端 证 书 。 

3) 在 证 书 存储 区 中 ， 选 择 下 列 其 中 一 项 ， 然 后 选择 My( 我 的 ) 或 Root( 根 ) 单 选 按钮 : 

e 本 地 计算 机 (Local Machine): 在 证 书 存 储 区 域 ，WebInspect 使 用 用 户 选 择 的 本 地 计算 


机 上 的 证 书 。 
e 当前 用 户 (Curent User): 在 证 书 存储 区 域 ，WebImspect 对 当前 用 户 使 用 用 户 选择 的 
证 书 。 


4) 要 查看 证 书信 息 区 域 的 详细 信息 ， 先 选择 一 个 证 书 。 
5) 单 击 Next( 下 一 步 )， 该 应 用 程序 身份 验证 页 面 出 现 。 
6) 如 果 网 站 需要 登录 宏 ， 请 执行 以 下 操作 : 

a) 选择 Use a login macro for this site( 为 网 站 使 用 一 个 登录 宏 )。 

b) 在 Automated Login Sequence (Login Macro)( 自 动 登录 序列 (登录 宏 )) 文 本 框 中 ， 如 

果 想 清除 先前 选 定 的 安 ， 单 击 右 端 文本 框 中 的 X。 

c) 单 击 Edit( 编 辑 ) 录 制 一 个 新 登录 宏 ， 或 单 击 二 (浏览 ) 按 钮 导航 并 选择 编辑 现 有 
7) 单 击 Next( 下 一 步 )。 出 现 组 织 任务 页 面 ， 在 左 窗 格 中 的 个 人 网 站 突出 显示 最 佳 设置 。 
3. 步骤 3: 配置 主动 学 习 设置 


查看 推荐 的 扫描 设置 ， 来 提高 网 站 覆盖 率 ， 按 照 以 下 方式 进行 查看 。 


1) 探查 
该 WebInspect 探查 对 目标 网 站 进行 了 初步 项 目 ， 以 确定 某 些 设置 是 否 应 该 被 修改 。 如 果 
修改 是 必需 的 ， 探 查 将 返回 一 个 建议 列表 ， 用 户 可 以 接受 或 拒绝 该 建议 。 


2) 设置 

a) 接受 或 拒绝 该 建议 。 如 果 要 拒绝 ， 清 除 相关 的 复 选 框 。 
b) 如 有 必要 ， 提 供 所 需 的 信息 。 

c) 单 击 Next( 下 一 步 )。 
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3) 信息 
如 果 探查 不 建议 修改 ， 扫 描 向 导 将 显示 消息 “没有 设置 更 改建 议 ， 您 目前 的 扫描 设置 最 
适合 这 个 网 站 。” 网 站 任务 的 增强 覆盖 突出 显示 在 左 窗 格 中 。 


4) 增强 覆盖 网 站 
为 增强 覆盖 应 用 程序 ， 浏 览 到 应 用 程序 中 的 关键 位 置 来 提高 覆盖 率 。 


5) Web 表单 值 

向 导 扫描 记录 所 有 用 户 输入 网 页 表单 的 值 ， 在 这 里 用 户 可 以 查看 和 修改 值 ， 这 是 被 保存 
在 扫描 设置 的 一 部 分 。 在 工具 栏 中 的 Web 窗 体 部 分 ， 可 单 击 Export( 导 出 ) 将 值 保存 到 一 个 单 
独 的 文件 ， 或 者 单 击 Import( 导 入 ) 使 用 现 有 的 值 集 。 扫 描 设置 (包括 Web 表单 的 值 ) 可 以 使 用 
默认 值 ， 用 户 可 在 将 来 的 扫描 中 修改 。 

单 击 Next( 下 一 步 )。 

最 终审 查 页 面 和 突出 显示 的 配置 详细 选项 在 左 窗 格 中 出 现 。 

4. 步骤 4: 查看 设置 


要 配置 详细 选项 ， 指 定 以 下 任 一 设置 。 


1) 重用 识别 误 报 
选择 False Positives( 误 报 ) 框 ， 重 用 WebInspect 已 确定 的 误 报 。 


2) 流量 分 析 

a) 使 用 Web 代理 工具 , 选择 Launch and Direct Traffic( 启 动 和 直接 流量 ), 通过 Web 代理 
服务 器 来 使 用 Web 代理 工具 ， 来 检查 通过 WebInspect 发 出 的 HITP 请 求 和 目标 服务 器 返回 
的 响应 。 

Web 代理 是 一 个 独立 的 代理 服务 器 , 用 户 可 在 桌面 上 配置 和 运行 。Web 代理 允许 通过 扫 
描 仪 、Web 浏览 器 或 提交 的 HTTP 请 求 和 从 服务 器 接收 响应 的 任何 其 他 工具 监控 流量 。Web 
代理 是 用 于 调试 和 渗透 扫描 的 工具 ; 当 浏 览 一 个 网 站 时 ， 用 户 可 以 查看 每 个 请 求 和 服务 器 
响应 。 

b) 选择 Traffic Monitor( 流 量 监 视 器 ) 杠 来 显示 和 审查 WebInspect 从 服务 器 接收 到 的 相关 
HTTP 响应 发 送 的 每 个 HITP 请 求 。 

在 扫描 一 个 网 站 时 ，WebImspect 只 显示 网 站 层次 结构 以 及 发 现 漏洞 的 那些 会 话 。 但 如 果 
选择 Enable Traffic Monitor( 启 用 流量 监视 器 ), WebInspect 允许 显示 和 审查 WebInspect 从 服务 
器 接收 到 的 相关 HTTP 响应 发 送 的 每 个 HITP 请 求 。 

c) 单 击 Next( 下 一 步 )。 出 现 验证 设置 和 开始 扫描 页 面 ， 在 左 窗 格 中 突出 显示 配置 详细 选项 。 

d) 要 保存 扫描 设置 ， 选 择 Click here to save settings( 单 击 此 处 保存 设置 )。 

e) 在 立即 扫描 区 域 ， 检 查 扫描 设置 ， 然 后 单 击 Start Scan( 开 始 扫 描 ) 开 始 一 个 扫描 。 


5. 导入 HP 统一 功能 测试 (UFT) 文 件 


如 果 已 安装 HP 统一 功能 测试 应 用 程序 ，WebInspect 可 以 检测 到 它 ， 并 允许 用 户 将 一 个 
UTF 文件 CusD 导 入 到 工作 流 扫描 ， 以 提高 扫描 的 彻底 性 和 攻击 面 。 
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导入 一 个 UTF(usn 文 件 转换 成 WebInspect 向 导 扫描 ; 

1) 启动 一 个 向 导 扫描 ， 然 后 选择 Workflow Scan( 工 作 流 扫描 ) 作 为 扫描 类 型 。 工 作 流 扫 
描 选 项 的 附加 文本 会 出 现 : 

HP 统一 功能 测试 已 被 侦破 。 可 导入 脚本 来 提高 安全 测试 的 彻底 性 。 

2) 单 击 Next( 下 一 步 ) 按 钮 。 

3) 在 认证 部 分 ，Application Authentication( 应 用 程序 身份 验证 ) 被 自动 选择 。 

4) 在 管理 工作 流 屏幕 上 , 单 击 Import( 导 入 )。 出 现 导入 脚本 对 话 框 。 在 导入 脚本 对 话 框 ， 
可 以 : 

e 键入 文件 名 。 

。 通过 单 击 一 个 当 找 到 用 户 的 文件 和 .urs 扩展 来 浏览 文件 。 从 下 拉 文 件 类 型 选择 HP 

Unified Functional Testing(HP 统一 功能 测试 )， 然 后 导航 到 该 文件 。 

e 单 击 编辑 以 启动 HP 统一 功能 来 测试 应 用 程序 。 

5) (可 选 ) 在 导入 脚本 对 话 框 ， 可 以 选择 以 下 任 一 选项 : 

e 在 导入 期 间 显示 HP 统一 功能 测试 UI(Show HP Unified Functional Testing UI during 

import) 

e 导入 后 打开 脚本 结果 (Open script result after import) 

6) 选择 要 导入 的 文件 ， 然 后 单 击 Import( 导 入 )。 在 文件 被 成 功 导 入 后 ， 该 文件 会 出 现在 
工作 流 表 中 。 

7) 从 工作 流 表 执 行 下 列 操 作 之 一 : 
记录 (Record): 启动 WebInspect 统一 宏 录 制 。 
编辑 (Edib: 允许 使 用 WebInspect 统一 的 Web 宏 记 录 修改 文件 。 

删除 (Delete): 从 工作 流 表 中 删除 脚本 。 

导入 (mporb: 导入 另 一 个 文件 。 
导出 (Export): 用 webmacro 格式 指定 名 称 和 位 置 ， 并 保存 为 一 个 文件 。 

8) 单 击 Next( 下 一 步 )。 

当 第 一 个 .usr 脚本 文件 添加 到 列表 中 , 其 名 称 (或 默认 名 称 ) 会 出 现在 工作 流程 表 并 允许 主 
机 表 被 添加 到 窗 格 中 。 

添加 另 一 个 .usr 脚本 文件 可 以 添加 更 多 的 允许 主机 。 己 启用 的 任意 主机 对 所 有 列 出 的 工 
作 流 的 .usr 脚本 文件 可 用 。 不 只 是 为 它 加 入 了 工作 流 的 .usr 文件 。 向 导 扫描 将 列 出 所 有 工作 流 
文件 ， 并 要 求 列 出 所 有 的 允许 主机 ， 以 及 其 复 选 框 是 否 被 选中 。 如 果 选 择 了 一 个 允许 主机 的 
复 选 框 ，WebInspect 将 疏 行 或 审计 该 主机 的 响应 。 如 果 复 选 框 未 选中 ，WebInspect 不 会 人 拒 行 
或 审计 该 主机 的 响应 。 

此 外 ， 如 果 一 个 特定 的 工作 流 -usr 脚本 使 用 参数 ， 当 在 列表 中 选择 工作 流 ， 宏 会 显示 一 
个 宏 参 数 表 。 根 据 需 要 编辑 参数 的 值 。 

9) 完成 变更 或 增加 工作 流 表 ， 在 向 导 扫 描 的 指导 下 继续 完成 设置 并 运行 扫描 。 


7.3.2 ”基础 扫描 


当 启 动 一 个 基础 扫描 时 ， 会 出 现 扫 描 向 导 窗 口 。 
随后 窗口 中 默认 显示 的 选项 都 是 WebInspect 的 默认 设置 .用 户 所 做 的 任何 更 改 都 将 只 用 
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于 此 扫描 。 如 果 在 窗口 底部 单 击 Settings(Defaulb( 设 置 (默认 7 访问 WebImnspect 设置 窗口 ， 用 
户 的 任何 操作 都 是 暂时 性 更 改 。 要 更 改 默认 设置 ， 必 须 从 Edit( 编 辑 ) 菜 单 中 选择 Default Scan 
Settings( 默 认 扫 描 设置 )。 
页 面具 体内 容 如 图 7-45 所 示 。 
Dvir ei 痢 oe 


Web Site Scan Step 1 of 5 
Perform a scan of the target applicstion 


Scan Name: Site: http://zero.webappsecurity.com/ 


Crawl Only ® Crawl & Audit Audit Only © Manual 


加 Standard Scan 
WebInspect performs an automated analysis starting from the target URL. 


Start URL: | http://zero.webappsecurity.com/ pq 
Restrict to folder: 


© List-Driven Scan 
Perform a scan using a list of URLs. These URLs can be listed in a text file or an XML file created by the harvest tool, 


File: 


) Workflow-Driven Scan - 
Use a macro to navigate the application and perform an automated analysis. 


Macro: | 


有 
1 


图 7-45 Scan Wizard( 扫 描 向 导 ) 窗 口 


扫描 名 称 (Scan Name): 给 本 次 扫描 设置 一 个 名 称 。 

选择 扫描 模式 ， 包 括 以 下 四 种 : 

仅 假 行 (Craw Only): 测试 比较 大 型 的 网 站 ， 建 议 先 仆 行 ， 再 对 内 容 审 计 。 

疏 行 和 审计 (Crawl&Audib: 此 选项 为 默认 选项 , 该 选项 会 以 最 快 的 速度 完成 代行 和 审计 。 
测试 小 规模 的 网 站 时 ， 建 议 使 用 此 选项 。 

仅 审计 (Audit Only): 对 扫描 的 结果 进行 审计 。 

手动 (Manual): 类 似 于 被 动 检测 ，WebInspect 会 模拟 一 个 浏览 器 ， 然 后 根据 用 户 的 操作 ， 
自动 扫描 和 审计 用 户 访问 的 内 容 ， 所 有 操作 都 必须 在 WebInspect 模拟 出 来 的 浏览 器 上 进行 。 

选择 扫描 类 型 ， 包 括 以 下 三 种 : 

标准 扫描 (Standard Scan， 手 动 扫描 ): 用 户 需 要 提供 待 扫描 网 站 的 地 址 。 勾 选 Restrict to 
folder( 限 制 到 文件 来) 复 选 项 可 以 限制 扫描 的 深度 ， 如 只 扫描 目录 、 扫 描 目 录 及 其 子 目 录 、 扫 
描 目 录 及 其 父 目录 。 

列表 驱动 扫描 (List-Driven Scan): 用 户 需要 提供 一 个 待 扫描 URL 的 列表 , 文件 格式 为 .txt 
或 者 xml。WebInspect 根据 列表 内 容 扫描 和 审计 。 

工作 流 驱 动 扫 描 (Workflow-Driven Scan): 录制 一 个 工作 流 的 宏 ，WebInspect 根据 工作 流 
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的 操作 ， 自 动 扫描 和 审计 访问 的 内 容 。 
任务 1: 选择 扫描 选项 
1) 在 Scan Name( 扫 描 名 称 ) 文 本 框 中 ， 输 入 一 个 名 称 或 扫描 的 简要 说 明 。 
2) 要 载 入 之 前 保存 的 设置 (可 选 ); 


选择 From File( 来 自 文件 )， 打 开标 准 的 文件 选择 窗口 ， 然 后 选择 一 个 文件 ， 然 后 单 击 


a) 单 击 Settings( 设 置 ) 按 钮 的 下 拉 箭头 。 
b) 执行 以 下 操作 之 一 : 


Open( 打 开 )。 
从 下 拉 列 表 中 选择 一 个 文件 。 
3) 选择 以 下 扫描 模式 之 一 : 


仅 朴 行 (Crawl Only): 此 选项 会 完全 映射 一 个 网 站 的 分 层 数据 结构 。 当 疏 行 已 经 完成 ， 
可 以 单 击 审计 ， 以 评估 应 用 程序 的 漏洞 。 

疏 行 与 审计 (Crawl and Audib: WebInspect 映射 网 站 的 分 层 数据 结构 和 审计 每 个 资源 
(页 )。 根 据 选 择 的 默认 设置 ， 每 个 资源 被 候 行 或 在 整个 网 站 被 候 行 后 ， 审 计 就 可 以 进 
行 漏洞 评估 。 

仅 审计 (Audit Only): WebInspect 应 用 于 选 定 策略 来 确定 漏洞 风险 的 方法 ， 但 不 候 行 
网 站 。 网 站 上 无 链接 遵循 或 评估 。 

手动 (Manual): 手动 模式 可 手动 导航 到 选择 访问 的 应 用 程序 的 任何 部 分 。 它 不 会 息 行 
整个 网 站 ， 仅 记录 那些 遇 到 的 手动 导航 网 站 的 资源 信息 。 此 功能 是 最 常用 的 ， 通 过 一 
个 Web 表单 登录 页 面 进入 网 站 或 定义 一 个 离散 子 集 。 一 旦 通过 网 站 完成 导航 ， 用 户 可 
评估 审计 结果 来 记录 网 站 的 安全 漏洞 。 


4) 选择 以 下 扫描 类 型 之 一 : 


标准 扫描 (Standard Scan): WebInspect 从 目标 URL 开始 进行 自动 分 析 。 这 是 开始 一 个 
新 扫描 的 最 常用 方式 。 

手动 扫描 (Manual Scan): 手动 爬行 ( 步 模式 ) 可 手动 导航 到 选择 访问 的 应 用 程序 的 任何 
部 分 。 此 选项 仅 当选 择 手动 扫描 模式 时 可 用 。 

列表 驱动 的 扫描 (List-Driven Scan): 使 用 由 扫描 列表 执行 的 URL 扫描 。 每 个 URL 必 
须 是 完全 限定 的 , 并 且 必须 包括 协议 (例如 , http:// 或 https://)。 可 使 用 一 个 文本 文件 ( 格 
式 为 逗号 分 隔 列表 , 或 每 行 一 个 网 址 ), 或 使 用 由 Files To URLs 实用 程序 生成 的 XML 
文件 。 

工作 流 驱 动 扫描 (Workflow-Driven Scan): WebImspect 只 审计 包括 在 先前 记录 宏 中 和 
并 没有 在 审计 过 程 中 遇 到 的 超 链接 URL， 不 需要 注销 签名 。 使 用 这 种 类 型 的 宏 通常 
专注 于 一 个 特定 应 用 程序 的 一 部 分 。 用 户 可 以 选择 多 个 宏 。 


5) 如 果 选 择 Standard Scan( 标 准 扫 描 )， 请 按 以 下 说 明 操作 : 


a) 在 Start URL 框 中 ， 键 入 或 选择 要 检查 网 站 的 完整 URL 或 二 地址 。 

b) 如 果 选 择 Restrict to folder( 对 文件 夹 限制 ), 可 以 限制 扫描 的 范围 , 从 下 拉 列 表 中 选 
择 区 域 。 选 项 包括 : 

仅 目 录 (Directory only): WebInspect 仅 将 怜 行 和 /或 审计 用 户 指定 的 URL。 例如， 如 

果 选 择 了 此 选项 ， 并 指定 URL 为 www.mycompany/one/two/，WebInspect 将 仅 评估 
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two 目录 。 

e 目录 和 子 目 录 (Directory and subdirectories): WebInspect 开始 爬行 和 /或 审计 指定 的 
URL， 但 不 会 访问 目录 树 中 任何 较 高 的 目录 。 

e， 目录 和 父 目 录 (Directory and parent directories): WebInspect 开始 疏 行 和 /或 审计 指定 的 
URL， 但 不 会 访问 目录 树 中 任何 较 低 的 目录 。 

6) 如 果 选 择 Manual Scan( 手 动 扫描 )， 输 入 URL， 如 有 必要 ， 可 选择 Restrict to folder( 限 

制 到 文件 夹 )。 参 见 标准 扫描 (上 图 )。 

7) 如 果 选 择 List-Driven Scan( 列 表 驱 动 的 扫描 )， 请 执行 下 列 操作 之 一 : 

。 单 击 Import( 导 入 )， 然 后 选择 一 个 文本 文件 或 包含 要 扫描 URL 列表 的 XML 文件 。 

。 单 击 Manage( 管 理 ) 创 建 或 修改 URL 列表 。 

注 : 此 功能 也 与 FilesToURLs 功能 结合 使 用 。 

8) 如 果 选 择 Workflow-Driven Scan( 工 作 流 驱动 的 扫描 )， 请 执行 下 列 操作 之 一 : 

e 单 击 Manage( 管 理 )， 选 择 、 编 辑 、 录 制 、 导 入 、 导 出 或 删除 一 个 宏 。 

e 单 击 Record( 记 录 ) 并 创建 宏 。 


医生 在 一 个 ja 朱 中 可 以 包括 多 个 安 . 


9) 单 击 Next( 下 一 步 )。 
任务 2: 提供 身份 验证 和 连接 信息 
页 面具 体内 容 介绍 如 图 7-46 所 示 。 


[3 scan Wizard 


Authentication and Connectivity Step2of5 | 
Provide the necessary credentials and environment information to gain access to the target web site. 


= (Editws) 
器 Network Authentication 
Method: 
User Name: Password: 


DD Site Authentication 


Login macros provide Webinspect access to protected locations of your application. Therefore, using a login macro is highly recommended to 
increase the coverage of your scan, 


Automated Login Sequence (Login Macro) 9 BE 


图 7-46 身份 验证 和 连接 信息 
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如 果 提 供 的 URL 不 在 许可 证 的 范围 内 ，WebInspect 会 报错 。 
网 络 代理 (Network Proxy): 默认 使 用 正 的 网 络 代理 ， 也 可 以 修改 为 其 他 代理 。 
网 络 身份 验证 (Network Authentication): 若 网 站 的 认证 只 是 简单 认证 (如 Windows 认证 )， 
选择 该 选项 即 可 。 
网 站 身份 验证 (Site Authentication): 如 果 网 站 需要 认证 ,在 这 里 选 之 前 录制 的 登录 宏 , 利 
用 宏 来 进行 登录 。 
1) 如 果 需 要 通过 代理 服务 器 访问 目标 网 站 ,选择 Network Proxy( 网 络 代理 ), 然 后 从 Proxy 
Profile( 代 理 配 置 ) 文 件 列表 中 选择 选项 : 
e ”自动 检测 (Autodetect): 使 用 WPAD 来 定位 一 个 代理 自动 配置 文件 ， 并 用 它 来 配置 浏 
览 器 的 Web 代理 服务 器 。 
e@ 使 用 Intemet Explorer(Use Intemet ExploreD: 从 正 导入 代理 服务 器 信息 。 
e 使 用 PAC 文件 (Use PAC File): 从 PAC 文件 加 载 代理 设置 。 如 果 选 择 此 选项 ， 单 击 
Edit( 编 辑 )， 然 后 进入 PAC 的 位 置 (URL)。 
e 使 用 显 式 代 理 设置 (Use Explicit Proxy Settings): 指定 代理 服务 器 设置 。 如 果 选择 此 选 
项 ， 单 击 Edit( 编 辑 )， 然 后 进入 代理 信息 。 
e@ 使 用 Mozilla Firefox 浏览 器 (Use Mozilla Firefox): 从 Firefox 导入 代理 服务 器 信息 。 


| 选择 使 用 浏览 器 的 代理 设置 并 不 能 保证 通过 代理 服务 器 访问 网 络 。 如 果 Firefox 济 
览 器 的 连接 设置 配置 为 “无 代理 ”， 或 者 不 选中 Intemet Explorer 设置 “使 用 代理 
服务 器 为 LAN” ， 将 不 会 使 用 代理 服务 器 。 


2) 选择 Site Authentication( 网 站 身份 验证 )， 如 果 需 要 服务 器 身份 验证 。 那 么 选择 一 种 身 
份 验证 方法 ， 输 入 用 户 的 网 络 凭据 。 

3) 选择 网 站 验证 使 用 包含 用 户 名 和 密码 的 录制 宏 , 让 用 户 登 录 到 目标 网 站 。 该 宏 还 必须 
包含 一 个 “退出 条 件 ”， 这 表明 当 一 个 意外 退出 发 生 时 ，WebInspect 可 以 重新 运行 该 宏 再 次 

。 单 击 国 选择 一 个 安 。 如 果 选 择 一 个 宏 后 ， 希 望 使 用 Web 宏 记 录 修 改 宏 ， 单 击 

Edit( 编 辑 )。 

。 单 击 [。 Record… | 创建 一 个 宏 。 

4) 单 击 Next( 下 一 步 )。 

任务 3: 指定 覆盖 范围 和 彻底 性 

页 面具 体内 容 介绍 如 图 7-47 所 示 : 

框架 (Framework): 如 果 系 统 构建 在 一 些 常用 框架 之 上 ，HP WebImspect 可 以 针对 这 些 框 
架 或 者 组 件 进行 扫描 优化 ， 但 仍 需 提供 登录 宏 等 必 备 组 件 ， 目 前 只 支持 Oracle ADF Faces。 
Oracle ADF Faces 包含 100 多 个 JSF 组 件 ， 用 户 可 以 使 用 它们 为 Java EE 应 用 程序 构建 更 丰 
富 的 用 户 界面 。Oracle ADF Faces 还 包含 当今 JSF 开发 人 员 最 需要 的 许多 框架 特性 。 

扫描 范围 (Crawl Coverage): 默认 为 最 高 级 别 ， 级 别 越 高 ， 扫 描 范 围 越 广 ， 速 度 越 慢 ; 级 
别 越 低 ， 扫 描 范围 越 小 ， 速 度 越 快 。 这 里 需要 平衡 扫描 范围 和 扫描 时 间 。 

校 验 策略 (Audit Depth): 选择 一 个 检验 策略 ， 我 们 常用 的 策略 是 OWASP Top 10 2010。 
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WebInspect 会 自动 进行 测评 ， 优 化 之 后 的 扫描 ， 以 便 更 快 更 好 地 执行 操作 。 
1) 为 对 一 个 应 用 程序 进行 优化 设置 ， 使 用 Oracle 应 用 开发 框架 Faces 组 件 或 BM 
WebSphere Portal， 选 择 Framework( 框 架 )， 然 后 从 Optimize scan for( 优 化 扫描 ) 列 表 中 选择 


Oracle ADF Faces 或 WebSphere Portal。 惠 普 可 能 开发 其 他 覆盖 设置 ， 并 使 其 智能 更 新 。 
EN Scan Wizard 


Coverage and Thoroughness Step 3 of 5 
Configure your scan to balance between efficiency and thoroughness as well as optimize your configuration for select frameworks. 


Optimize scan for: |0rade ADF Faces 


You have elected to apply a collection of settings specifically developed for applications built on Oracle ADF Faces. These targeted setting: 
lesioned to enable pphmal scanning of spolicnbons buik with ths technology. Akhovgh optimaing your sean for Oracle ADF Faces wil fitate a 
better scan, you still should provide supporting login macros, identified state parameters, and web form values. 

Crawl Coverage 

本 Default 
n> | Scan ings are more on coverage nce. Larger Crawl wi ings. 
> Default scan setti designed to focus than performance. Larger sites could take days to crawl with these setti 

上 


Audit Depth (Policy) 
[Standard >] 
A standard scan Sn automatad erawl of the eorver and performe check for ivown end uninown vulnerablities at the web eerver, web 


人 A standard scan does not run checks that are likely to create denial-of-service conditions, so it is safe 
to run on production systems. 


ET 
图 7-47 指定 覆盖 范围 和 彻底 性 


2) 使 用 Crawl Coverage( 疏 行 覆盖 ) 滑 块 指定 疏 行 设置 。 

此 滑 块 是 否 会 被 启用 ， 取 决 于 选择 的 扫描 模式 。 与 此 滑 块 相 关 的 选项 and ta 
选择 。 如 果 启 用 ， 滑 块 将 允许 选择 四 种 爬行 位 置 之 一 。 各 位 置 表示 设 定 值 的 特定 集合 ， 由 
面 的 选项 卡 表示 : 

a) 彻底 (Thorough) 

“彻底 ”使 用 以 下 设置 : 

e 元 余 页 检测 : 关闭 

e 最 大 单 链接 点 击 数 : 20 

e 最 大 Web 表单 提交 : 7 

e 创建 脚本 事件 会 话 : 开 

。 每 页 最 大 脚本 事件 : 2000 

e 每 个 会 话 允 许 的 动态 表单 数 ， 无限 


动态 表单 是 在 执行 脚本 时 被 修改 的 HTML 表单 。 如 果 需 要 很 长 时 间 来 审计 一 个 肢 
本 密集 部 位 ， 将 每 个 会 话 动态 表单 的 数量 限制 到 零 次 或 一 次 来 缩短 审计 时 间 。 
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b) 默认 (Defaul) 
默认 使 用 以 下 设置 : 

命中 次 数 包括 参数 : 真 

元 余 页 检测 : 关闭 

最 大 单 链接 点 击 数 : 5 

最 大 Web 表单 提交 : 3 
创建 脚本 事件 会 话 ， 关 

每 页 最 大 脚本 事件 : 1000 

每 个 会 话 允 许 的 动态 表单 数 ， 无限 
c) 正常 Normal) 
正常 使 用 以 下 设置 

命中 次 数 包括 参数 : 真 

元 余 页 检测 ， 关闭 

最 大 单 链接 点 击 数 ，5 

最 大 Web 表单 提交 : 2 
创建 脚本 事件 会 话 ， 关 

每 页 最 大 脚本 事件 : 300 

每 个 会 话 允 许 的 动态 表单 数 : 1 
命中 次 数 包 括 参 数 : 假 

d) 快速 (Quick) 
快速 使 用 以 下 设置 : 

宛 余 页 检测 : 开 

最 大 单 链接 点 击 数 : 3 

最 大 Web 表单 提交 : 1 
创建 脚本 事件 会 话 ， 关 

每 页 最 大 脚本 事件 ，100 

每 个 会 话 允 许 的 动态 表单 数 ，0 
命中 次 数 包括 参数 ， 假 


如 果 单 击 Settings( 设 置 ) 打 开 高 级 设置 窗口 )， 并 更 改 与 四 个 滑 块 位 置 中 的 一 个 相 冲 突 的 


设置 ， 滑 块 创建 第 五 位 置 标记 Customized Coverage Settings( 自 定义 覆盖 设置 )。 


3) 从 Audit Depth (Policy)( 审 计 深 度 (策略 )) 列 表 中 选择 策略 。 
这 个 列表 是 否 会 被 启用 ， 这 取决 于 步骤 1 中 选择 的 扫描 模式 。 
4) 单 击 Next( 下 一 步 )。 

任务 4: 提供 详细 的 扫描 配置 信息 ， 如 图 7-48 所 示 。 


如 果 单 击 Profile( 配 置 ) 文 件 (或 者 当 出 现 该 页 面 时 选择 Run Profiler Automatically( 自 动 运 
行 分 析 器 )，WebInspect 对 目标 网 站 进行 初步 审查 ， 以 确定 某 些 设置 是 否 要 修改 。 如 果 要 修 


改 ， 分 析 器 返回 一 个 建议 列表 ， 用 户 可 以 接受 或 拒绝 。 


启动 分 析 器 每 次 访问 这 个 页 面 ， 会 选择 自动 运行 分 析 器 。 要 手动 启动 分 析 器 ， 单 


Profile( 配 置 ) 文 件 ， 在 Settings( 设 置 ) 部 分 显示 结果 。 


IT 


0 
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1) 接受 或 拒绝 该 建议 。 要 拒绝 ， 清 除 相关 的 复 选 框 。 

2) 如 有 必要 ， 提 供 所 需 的 信息 。 
Ov 

| Detailed Scan Configuration Step 4 of 5 


Review profiler recommendations and configure specific settings. 


Profiler 


The profiler samples your web site and makes configuration recommendations to best scan your web site, These recommendations are added to the 
details section below. 


国 Run Profiler Automatically 


Settings 


Form Values 1of4 


This section deals with the way information is gathered for a scan, 


贺 Auto fill web forms during crawl 


WebInspect submits values for input controls found on all forms，The values are extracted from a file you create using 
the Web form editor, Click Load to specify the file containing the values you want to use, 


(default) Load Edit,.. | | Create... 
Add Allowed Hosts 2of4 


Some URLs on the site might have host names that refer to sub-applications or related applications. You should review the list 
and choose the appropriate hosts to add to the allowed hosts setting, This will ensure that you scan the entire application, 


|_neoflor pciooouorpt aod re 


[Settings Defau = | ET 到 | 
图 7-48 详细 的 扫描 配置 


3) 单 击 Next( 下 一 步 )。 


任务 5: 启动 或 计划 扫描 ， 如 图 7-49 所 示 。 
A scan Wizard LEE 


Congratulations! Step5of5 
You have successfully configured scan settings. Click the Save link to save these scan settings or the Scan button to start your scan, 


图 7-49 保存 并 启动 扫描 
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此 窗口 中 的 内 容 有 所 不 同 ， 这 取决 于 用 户 的 选择 和 配置 (与 计划 扫描 类 似 ， 不 详细 介绍 )。 
1) 上 传 到 AMP/ WebInspect Enterprise 扫描 模板 
当 连 接 到 企业 服务 器 (AMP 或 WebInspect Enterprise) 时 ， 用 户 可 将 此 扫描 设置 发 送 到 企 


业 服务 器 , 这 将 创建 一 个 扫描 模板 。 但 必须 分 配给 一 个 角色 (在 AMP 或 WebInspect Enterprise)。 


单 引 


fF 上 传 超 文本 的 链接 。 
2) 保存 设置 
用 户 可 保存 此 扫描 设置 ， 这 将 允许 以 后 再 次 使 用 此 扫描 设置 。 单 击 保存 超 文本 的 链接 。 


保存 扫描 设置 ， 单 击 Scan( 扫 描 ) 按 钮 开始 扫描 。 


任务 6: 网 站 测试 
1) WebInspect 的 工作 界面 如 图 7-50 所 示 。 


Oiormation | F best Practcs | EF Scan Lo | @ Server ormation | 


图 7-50 WebInspect 的 工作 界面 


重要 信息 说 明 : 

Site: 列 出 扫描 出 的 网 站 内 容 JSP、Servlet、JS 等 ， 根 据 网 站 树 来 排列 。 
Scan Info: 查看 扫描 的 总 体 信息 。 

Dashboard: 以 柱状 图 来 显示 扫描 到 的 漏洞 。 

Traffic Monitor: 监控 交互 的 信息 。 

Session Info: 查看 一 个 具体 漏洞 的 详细 信息 。 

Vulnerability: 该 漏洞 的 详细 介绍 。 

Web Browser: 可 在 浏览 器 中 查看 发 现 的 漏洞 。 

HTTP Request: 查看 WebInspect 发 送 的 HITP Request 的 信息 。 
HTTP Response: 查看 待 测试 网 站 返回 的 HTTP Response。 

Details: 查看 HITP Request 头 、HITP Response 头 、Session 信息 。 
Steps: 查看 WebInspect 发 现 这 个 漏洞 的 详细 执行 步骤 。 
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Host Info: 查看 待 测 网 站 的 信息 。 
Vulnerability List: 以 列表 的 形式 列 出 已 扫描 到 的 漏洞 、WeblInspect 的 日 志 信息 、 针 对 这 
个 漏洞 的 最 佳 实践 等 。 在 这 里 可 以 更 改 漏洞 的 级 别 , 利用 WebInspect 自 带 的 小 工具 来 重 现 该 
漏洞 ， 也 可 将 该 漏洞 发 送 到 HP Quality Center 或 者 IBM Rational Clear 中 (如 果 已 与 其 集成 )。 
2) 查看 漏洞 信息 
这 里 是 该 漏洞 的 所 有 信息 的 汇总 ， 在 漏洞 列表 中 右键 单 击 要 查看 的 漏洞 ， 在 右键 快捷 菜 
选择 Review Vulnerability( 审 阅 漏洞 )， 打 开 的 界面 如 图 7-51 所 示 。 


eiow Whenbitin 0 


单 中 


SE | 
Mttp:/ /ero.webeppsecunity.com:0/ sendt eedback- html 


EE 


ee 


Vuinerabllty to Review: Od Cross-Site sonpeng: Reflectes > netest 痢 Mark ss " 傅 optens 人 SendTe 二 Help 


[rowser | nesest | Responee | vunershty | atachmerts | 
[I 
hr 


ugh tAtt och) crewiTypen “None” 


eet bee mao nenare combsentectel2Is domment 2 


Source Anack Parameter Rospore Match Stanus 
hatpViaere webagpaecvrty comeoy 


httpy/tero webappiecurty como/sendioecbeck) rameymjcwb1%20W4S7 ThA5 WOSN ddeu611 Artackh 


Rendy 


2 - he 
图 7-51 查看 漏洞 信息 


Browser: 在 浏览 器 中 查看 该 漏洞 。 
Request: WebInspect 发 送 的 HTTP Request 信息 。 
Response: 待 测 网 站 返回 的 HTTP Response 信息 。 
Vulnerability: 查看 该 漏洞 的 详细 信息 介绍 。 
Attachments: 查看 该 漏洞 所 添加 的 附件 。 
界面 下 方 显示 了 重 现 步骤 。 
3) 利用 WebInspect 自 带 小 工具 重 现 漏洞 
在 漏洞 列表 中 右键 单 击 要 重 现 的 漏洞 ， 在 右键 快捷 菜单 中 选择 Tools( 工 具 )，WebInspect 
会 高 亮 显示 可 用 的 小 工具 ， 这 里 以 HITP Editor 为 例 进 行 介绍 ， 如 图 7-52 所 示 。 
HTTP Editor 工作 界面 的 上 方 是 WebImspect 发 送 的 HITP Request 的 详细 信息 ， 单 击 
Send( 发 送 ), 待 测 网 站 返回 的 HTTP Response 信息 会 显示 在 工作 界面 的 下 方 , 选择 Browser( 浏 
览 ) 标 签 可 在 浏览 器 中 查看 该 漏洞 。 
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4) 更 改 缺陷 级 别 
在 漏洞 列表 中 右键 单 击 要 更 改 缺 陷 级 别 的 漏洞 ， 在 右键 快捷 菜单 中 选择 Change 
Severity( 更 改 严重 性 )。 
hr tdor me 和 a 


问 苞 国 | 日 Send hs ls @ Show History 
Fle Edt Yew Help 
Location: http://zero.webappsecurity.comB80/sendFeedback html 


Referer: hetp://zero-.webappsecurity.con/feedbeck.herl 
cntent-Type: application/x-ww-form-urlencoded 晤 
cntent-Length: 180 国 


图 7-52 ”使 用 HITP Editor 重 现 漏洞 


5) 在 下 次 扫描 中 忽略 该 漏洞 

用 户 可 能 发 现 有 些 漏洞 是 误 报 的 ， 希 望 在 下 次 扫描 中 忽略 这 些 漏 洞 ， 那 么 可 以 在 漏洞 列 
表 中 右键 单 击 要 忽略 的 漏洞 , 在 右键 快捷 菜单 中 选择 Mark As( 标 记 为 ), 再 选择 Ignored( 忽 略 ) 
或 False Positive( 误 报 )。 

6) 导出 缺陷 信息 

在 漏洞 列表 中 右键 单 击 要 导出 缺陷 信息 的 漏洞 ， 在 右键 快捷 菜单 中 选择 Export( 导 出 )， 
再 选择 Selected item(s) to CSV( 选 中 条 目 导 出 为 CSV) 或 All items to CSV( 全 部 条 目 导出 为 
CSV)， 导 出 格式 为 .csv。 

7) 将 漏洞 发 送 到 HP Quality Center 

在 漏洞 列表 中 右键 单 击 要 发 送 的 漏洞 ， 如 果 HP WebInspect 和 HP Quality Center 已 经 和 
WebInspect 进行 集成 ， 在 右键 快捷 菜单 中 选择 Send( 发 送 )， 再 选择 HP Quality Center， 然 后 
填写 漏洞 信息 ， 该 漏洞 会 作为 一 个 缺陷 (bug)， 发 送 到 HP Ouality Center 并 根据 HP Quality 
Center 中 定义 的 流程 来 处 理 。 

任务 7: 生成 报告 可 以 利用 WebInspect 自 带 的 Report Designer 来 设计 报告 的 格式 ， 具体 
操作 为 选择 Reports( 报 告 )， 再 选择 Report Designer( 报 告 设计 器 )， 打 开 Report Designer。 之 后 
选择 File( 文 件 )， 再 选择 New( 新 建 ) 打 开 报 告 定义 窗口 ， 如 图 7-53 所 示 。 
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图 7-53 ”Create Report Defintion 窗口 


Name: 给 报告 设置 一 个 名 称 。 

Description: 报告 的 具体 描述 。 

Context: 选择 整个 扫描 的 报告 或 者 单个 漏洞 的 报告 。 

Views: 选择 需要 展示 的 视图 。 

View Parameters: 该 视图 对 应 的 参数 。 

View Fields: 该 视图 对 应 的 域 。 

View Description: 视图 的 具体 介绍 。 

单 击 OK( 确 定 ) 按 钮 ， 打 开具 体 的 格式 设计 界面 ， 如 图 7-54 所 示 。 


ere Saleetie Het Jocaeat 


7-54 ”报告 格式 设计 界面 
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设计 好 之 后 保存 。 


单 击 Reports( 报 告 ) 的 下 拉 列 表 选 择 Generate Reports( 生 成 报告 或 单 击 工作 界 [ 


Generate a Report( 生 成 报告 )， 打 开 的 界面 如 图 7-55 所 示 。 


而 左 侧 的 


/fwww.ba... http://www.baidu.... Open 
Scan Date: Last Month (2 items) 


46.25 MB 


加 Site: http://zero.we.. http://zero.webapp_ Open 
图 ; web Site scan http://zero.webapp... Open 
Scan Date: Older (3 Kems) 


7125 MB 
53.25 MB 


Webinspect Agent-。 http://riches:3080/.. Complete 
© weblnspect Agent-，http//riches-8080/- Complete 
Sample scan http://zero.webapp.. Complete 


图 7-55 选择 生成 报告 的 扫描 
选中 要 生成 报告 的 扫描 名 称 ， 单 击 Next( 下 一 步 )， 如 图 7-56 所 示 。 


Custom Reports Request 
加 site 回 Response 
_Standard Reports stack Trace (Wf avallable) 
国 Aggregate en 
Alert View Soeenshots 
贺 Attack Status 


66.25 MB 
49.25 MB 
85.25 MB 


Select the reports you would like to run 


贺 compliance 

加 crawled URLS 

© Developer Reference 
加 Duplicates 

Executive Summary 
加 False Positive 

图 QA Summary 

加 Scan Difference 
Scan Log 

回 Trend 


Vulnerability 
Vulnerability (Legacy) 


[DD Aggregate Scans (Correlate data across selected scans) 


i EE Ee 


图 7-56 选择 生成 报告 的 内 容 
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选择 需要 展示 的 信息 内 容 , 常用 的 有 3 个 : Compliance、Executive Summary Vulnerability。 
注意 图 7-56 不 要 勾 选 太 多 选项 , 勾 选 太 多 会 导致 生成 报告 页 数 太 多 , 生成 速度 也 会 很 慢 。 
单 击 Finish( 完 成 ) 按 钮 ，WebInspect 会 生成 PDF 格式 的 报告 ， 如 图 7-57 所 示 。 


Multiple Reports 


图 7-57 ”生成 PDF 格式 的 报告 


单 击 保存 按钮 后 , 可 将 生成 的 WebInspect 报告 保存 到 本 地 。 报 告 中 有 详细 的 漏洞 分 布 图 ， 
如 图 7-58 所 示 。 以 及 漏洞 代码 ， 如 图 7-59 所 示 ， 显 示 为 红色 的 代码 是 漏洞 代码 。 


Scan Name # of Servers Policy Date Duration Vulns 


Site: http://zero.webappsecurity.com/ Standard 08/03/14 ”1hr:lmin 87 


Cookles Forms Scripts External Broken ServerTypes 
Uinks Links 


http://zero.webappsecurity.com:80 17 7 129 1149 222 A ASP, jsp, 


Total 129 1149 -222 


Vulnerability Summary 


Locations With Vulnerabilities Vulnerability Count 


Best Practice | 


国 hors Lm ves.n WE Hi oe | 


Vulnerability Count by Server 


http://zero.webappsecurity.com:80 


Total 


图 7-58 漏洞 的 详细 分 布 
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图 7-59 标 红 代码 为 漏洞 代码 


7.3.3 ”Web 服务 扫描 


当 执行 Web 服务 评估 时 ，WebInspect 可 以 爬行 WSDL 网 站 ， 并 提交 每 次 操作 中 发 现 的 
每 个 参数 的 任意 枚 举 值 。 这 些 值 摘录 自用 户 必须 创建 使 用 的 Web 服务 设计 器 文件 。 然 后 在 试 
图 检测 漏洞 时 ， 通 过 攻击 每 个 参数 去 审计 网 站 ， 如 SQL 注入 。 

Web 服务 扫描 界面 如 图 7-60 所 示 。 


A Web Sevee Son Wen 0 i | 9 i 


Web Service Scan Step 1 of 4 
Find valnerabiities from a Web Service Defrition Fe 
| 


Scan Name: [Bervice: htip://Iegacy webappsecurty com/ CustomerAccounts/ webservice. asmvmnsd 


@ Configure a Web Service Scan 


Ingut the address for the WS0L fle into the WSDL Location ie or use the browse button to select a saved WSDL from the file system. Perform | 
Some basi acan canfguratien settnos ond use the Web Serv ce Test DesGrer to sp Valid mouts For web sevice operations. 


WSDL Location: hitp: /iegacy .webappsec rity Com/ CustomerAccounts WebService amroerwecl 一 "| 
Scan with existing Design File 
Select 3 prewiously saved gesan Me for use ma new web servce scan 


Fe: 


图 7-60 ”Web Service Scan(Web 服务 扫描 ) 界 面 


[Laea> | [Ganeel | 
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任务 1: 选择 一 个 WSDL 或 设计 文件 
1) 在 扫描 名 称 文本 框 中 输入 Scan Name( 扫 描 名 称 )。 
2) 选择 下 列 选 项 之 一 : 
e 配置 Web 服务 扫描 (Configure a Web Service Scan): 输入 或 选择 一 个 WSDL 文件 的 完 
整 路 径 和 名 称 ， 或 者 单 击 E 林 打开 一 个 标准 的 文件 选择 对 话 框 ， 选 择 一 个 WSDL 文 
件 。 导 入 WSDL 文件 ,随后 运行 Web 服务 测试 设计 配置 包含 在 服务 中 的 每 个 操作 文 
件 的 值 。 
。 扫描 现 有 设计 文件 Scan with Existing Design File): 单 击 EE 林 打开 一 个 标准 的 文件 选择 
对 话 框 , 然后 选择 使 用 的 Web 服务 测试 设计 文件 ， 此 文件 由 先前 的 Web 服务 测试 设 
计 (WSD) 创 建 。 此 文件 包含 服务 中 每 个 操作 的 值 。 
3) 单 击 Next( 下 一 步 )。 
注意 ，WSDL 文件 为 接口 文件 ， 测 试 人 员 可 向 开发 人 员 索 要 这 个 文件 。 
任务 2: 提供 身份 验证 和 连接 信息 
1) 如 果 需 要 通过 代理 服务 器 访问 目标 网 站 , 选择 网 络 代理 服务 器 , 然后 从 代理 配置 文件 
列表 中 选择 选项 : 
e 自动 检测 (Autodetect): 使 用 Web 代理 自动 发 现 协议 (WPAD) 来 定位 代理 自动 配置 文 
件 ， 并 使 用 它 来 配置 浏览 器 的 Web 代理 服务 器 设置 。 
@ ”使 用 Intemet Explorer(Use Intemet Explorer): 从 正 导入 代理 服务 器 信息 。 
e 使 用 PAC 文件 (Use PAC File): 从 代理 自动 配置 (PAC) 文 件 加 载 代理 设置 。 如 果 选 择 
此 选项 ， 单 击 Edit( 编 辑 )， 然 后 进入 PAC 的 位 置 (URL)。 
e ”使 用 显 式 代理 设置 (Use Explicit Proxy Settings): 指定 代理 服务 器 设置 。 如 果 选 择 此 选 
项 ， 单 击 Edit( 编 辑 )， 然 后 进入 代理 信息 。 
e@ 使 用 Mozilla Firefox 浏览 器 (Use Mozilla Firefox): 从 Firefox 导入 代理 服务 器 信息 。 
注意 ， 选 择 使 用 浏览 器 的 代理 设置 并 不 能 保证 通过 代理 服务 器 访问 网 络 。 如 果 Firefox 
浏览 器 的 连接 设置 配置 为 “无 代理 ”， 或 者 不 选中 Intemet Explorer 设置 “使 用 代理 服务 器 为 
LAN”， 那 么 代理 服务 器 不 会 被 使 用 。 
2) 选择 网 络 身份 验证 ， 如 果 需 要 服务 器 身份 验证 ， 则 选择 一 种 身份 验证 方法 ， 输 入 网 络 


凭据 。 
提供 身份 验证 和 连接 信息 界面 ， 如 图 7-61 所 示 。 
3) 单 击 Next( 下 一 步 )。 
任务 3: 详细 扫描 配置 
1) 要 创建 一 个 设计 测试 文件 ， 一 个 消息 将 提示 用 户 启动 Web 服务 测试 设计 。 直 到 使 用 
设计 器 创建 一 个 Web 服务 设计 (WSD) 文 件 ， 扫 描 向导 才 会 前 进 ， 如 图 7-62 所 示 。 
2) 如 果 已 经 选择 了 设计 测试 文件 ， 用 户 可 单 击 Design( 设 计 )， 打 开 Web 服务 测试 设计 
和 编辑 WSD 文件 ， 该 文件 包含 应 在 扫描 过 程 中 提交 的 WSDL 文件 的 值 。 
3) (可 选 ) 可 选择 以 下 选项 : 
e 通过 Web 代理 服务 器 并 启动 Direct Traffc。 注 意 ， 正 在 进行 计划 扫描 时 ， 此 选项 不 
可 用 。 
e 启用 流量 监控 器 。 
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Authentication and Connectivity Step 2 of 4 
Provide the necessary credentials and environment information to gain access to the target web site. 


Use Intemet Explorer 


器 Network Authentication 


Method: [ 


Detailed Scan Configuration Step 3 of 4 
Design Web Service operations and configure specific settings. 


‘Web Service Test Designer 


Use the Web Service Test Designer to specify data that will be sent to the web service application, configure security, and verify that the system 
performs as designed, 


Name; Zero Test Design [oesign | 


Settin' 


Traffic Analysis 


Ensble options to analyze HTTP traffic. 


这 


加 Launch and Direct Traffic Through Web Proxy 


Web Proxy is a stand-alone, self-contained proxy server that you can configure and run on your desktop. With it, you 
can monitor traffic from a scanner, a browser, or any other tool that submits HTTP requests and receives responses 
from a server. It is a tool for debugging and penetration scanning; you can see every request and server response 
while browsing a site. 


Enable Traffic Monitor 


WebInspect displays in the navigation pane only the hierarchical structure of the Web Site or Web Service, plus those 
sessions in which a vulnerability was discovered. The Traffic Monitor allows you to display and review every HTTP 
request sent by WebiInspect and the associated HTTP response received from the server. 


图 7-62 ”扫描 详细 配置 


任务 4: 启动 或 计划 扫描 ( 同 基础 扫描 )。 
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7.3.4 企业 扫描 


企业 扫描 允许 从 企业 网 络 的 角度 总 览 用 户 网 络 。 WebInspect 自动 发 现 所 有 可 用 端口 的 卫 
地 址 范围 。 然 后 ， 可 选择 使 用 哪些 服务 器 来 评估 所 有 被 发 现 的 漏洞 。 
当 启 动 一 个 企业 扫描 时 ， 出 现 企业 扫描 窗口 ， 如 图 7-63 所 示 。Recurrence Pattem( 循 环 模 
式 ) 栏 选择 开始 扫描 的 时 间 ， 可 以 选择 立即 开始 或 指定 在 每 天 的 某 个 时 间 扫描 。 
| 


EY Enterprise Scan WE 


Enterprise Scan Step1 of2 
An Enterprise Scan provides 9 comprehensive overvien of your Web presence from sn erterprise network perspecive. 


Recurrence Pattern 


®| Immediately : 

The scan wil run immediately after finishing this wizard. 
© Run Once Date / Time 

Start date and time: | 2014/9/18 23:12 


© Recurrence Schedule 
Monthly 


图 7-63 在 企业 扫描 窗口 中 ， 可 指定 扫描 时 间 


1) 进行 扫描 指定 。 选 项 包括 : 

e EI(Immediately). 

。 运行 一 次 (Run Once): 设置 扫描 开始 时 的 日 期 和 时 间 。 可 以 单 击 下 拉 箭 头 以 显示 日 历 ， 
选择 日 期 。 

e 循环 计划 (Recurrence Schedule): 使 用 滑 块 来 选择 一 个 频率 (每 日 、 每 周 或 每 月 )。 然 后 
指定 扫描 应 开始 的 时 间 ( 每 周 或 每 月 ) 并 提供 其 他 计划 信息 。 

单 击 Next( 下 一 步 ) 继 续 进行 设置 ， 页 面具 体内 容 介 绍 如 图 7-64 所 示 。 

扫描 名 称 (Enterprise Scan Name): 为 本 次 扫描 设置 一 个 名 称 。 

Web 发 现 (Web Discovery): 单 击 Discover( 发 现 ) 按 钮 ， 提供 一 个 全 地 址 或 一 个 卫 地 址 的 

范围 ，WebInspect 会 自动 发 现 目标 主机 ， 被 发 现 的 主机 会 列 在 下 方 的 主机 列表 内 。 

主机 列表 (Hosts to Scan): 可 手动 添加 一 台 待 测 主机 ， 也 可 以 从 外 部 导入 。 

2) 在 Enterprise Scan Name( 企 业 扫描 名 称 ) 框 中 ， 输 入 本 次 企业 扫描 的 唯一 名 称 。 

从 企业 网 络 的 角度 来 看 ， 企 业 扫描 允许 总 览 网 络 存 在 。 用 户 可 以 : 

e 通过 对 指定 范围 内 的 他 地址 和 端口 进行 扫描 发 现 所 有 可 用 的 服务 器 。 

。 输入 单个 URL 或 他 地 址 。 

e 导入 服务 器 列表 (使 用 先前 创建 的 列表 )。 

Web 查看 
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按照 下 面 的 步骤 来 查看 Web 服务 器 。 
1) 单 击 Discover( 发 现 )。 
Search For Web Servers (Web 服务 器 搜索 ) 窗 口 会 出 现 ， 如 图 7-65 所 示 。 
站 pe TY 已 囊 号 


Enterprise Scan Step 2of2 
Execute multiple scans. 


Enterprise Scan Name: New Enterprise Scan 


Web Discovery 
Weblnspect can search your network and automatically detect Web sites to be scanned. Click the Discover button to use this 
etre 


Hosts to Scan 


Site Scan Mode Policy add | 


图 7-64 ”输入 企业 扫描 信息 


Search For Web Seryers 
Search Addresses 
IPVAPYB Addresses [or ranges) Ports (or ranges] 
| | 80.443 
Example: 192.168.0.1-192.168.012:172.16.10.20; 2001:0cExample: 80-100;443 
Total IP addresses specified: 0 Total ports specified 2 


Discovered End Points 
Selection IPAddress Port ldentification 


图 7-65 ”Search For Web Servers 窗口 
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2) 在 IPV4/IPV6 Addresses (orranges)(IPV4/IPV6 地 址 (或 范围 ) 框 中 , 键入 一 个 或 多 个 人 P 
地 址 或 卫 地 址 范围 。 

e 使 用 分 号 分 隔 多 个 地 址 。 

例如 : 172.16.10.3; 172.16.10.44; 188.23.102.5。 

e 使 用 破 折 号 或 连 字符 分 隔 起 始 和 结束 也 地 址 范围 。 

例如 : 10.2.1.70-10.2.1.90。 

注意 ，IPV6 地 址 必须 括 在 括号 中 。 

3) 在 Ports (orranges)( 端 口 (或 范围 ) 框 中 ， 键 入 要 扫描 的 端口 。 

e ”使 用 分 号 来 分 隔 多 个 端口 。 

例如 : 80; 8080; 443。 

e 使 用 破 折 号 或 连 字符 在 一 定 范围 内 分 隔 起 始 和 结束 端口 。 

例如 : 80-8080。 

4) 单 击 Setings( 设 置 ) 来 修改 套 接 字 的 数目 和 超时 参数 (可 选 )， 用 于 发 现 可 用 服务 器 的 过 程 。 

5) 单 击 Start( 开 始 ), 如 图 7-66 所 示 。 结 果 在 发 现 终点 (Discovered End Points) 区 域 中 显示 。 

e 单 击 IP Address(IP 地 址 ) 列 中 的 条 目 ， 以 查看 该 网 站 。 

。 单 击 Identification( 身 份 验 证 ) 列 中 的 条 目 ， 打 开会 话 属性 窗口 ， 在 这 里 用 户 可 以 查看 

原始 请 求 和 响应 。 
6) 要 从 列表 中 删除 服务 器 ， 请 清除 相应 复 选 框 中 的 Selection( 选 择 ) 列 。 
7) 单 击 OK( 人 确定 )。 


Search Addresses 
JPV4/IPV6 Addresses (or ranges) Ports (or ranges) 


192.168,0, 1-192, 168.0, 12;172, 16, 10.20;2001:0db8:: 1428:57ab 80;443 
Example: 192,168.0.1-192.168.0.12;172.16.10.20; 2001:0db8::1428:57ab Example: 80-100;443 
Total IP addresses specified: 14 Total ports specified: 2 


Discovered End Points 
Selection IPAddress Port 


| Ope" Ports: © Sevices: 0 Web Servers: 0 
图 7-66 开始 发 现 过 程 


主机 扫描 

按照 下 面 的 步骤 手动 输入 要 扫描 的 URL 或 他 地 址 列表 。 如 图 7-67 所 示 。 
1) 单 击 Add( 添 加 )。 

2) 对 Web 网 络 添加 描述 信息 。 
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3) 对 其 他 服务 器 进行 重复 操作 。 

导入 列表 

如 果 以 前 使 用 企业 扫描 功能 或 网 络 发 现 工具 来 检测 服务 器 ， 并 以 一 个 文本 文件 导出 ， 用 
户 可 通过 单 击 Import( 导 入 ) 加 载 这 些 结果 ， 然 后 选择 保存 文件 。 

编辑 “要 扫描 的 主机 ”列表 

建立 使 用 一 种 或 更 多 上 面 方法 的 服务 器 列表 后 ， 可 使 用 以 下 步 又 修改 列表 : 

要 修改 特定 的 扫描 设置 : 

1) 选择 服务 器 。 

2) 单 击 Edit( 编 辑 )。 

3) 更 改 设置 。 

4) 单 击 Finish( 完 成 )。 


一 一 
辐 Enterprise Scan Wizard 旨 | 


Enterprise Scan Step 2 of2 
Execute multiple scans, 


Enterprise Scan Name: «= New Enterprise Scan 


Web Discovery 


ebinspect can search your network and automaticalyy detect Web sites to be scanned. Click the Discover button to use this [Discover] 
Hosts to Scan 

site Scan Mode Policy [Wm 

http://www.baidu.com/ Crawl & _Audit Standard 加 ”| 

Delete | 

[Import.. | 

[Export… | 


Cs<Back | [Schedule ] [ concel ] 


图 7-67 手动 输入 要 扫描 的 URL 


要 从 列表 中 删除 服务 器 : 

1) 选择 一 个 服务 器 。 

2) 单 击 Detele( 删 除 )。 

导出 列表 

要 保存 “要 扫描 的 主机 ”的 列表 : 

1) 单 击 Export( 导 出 )。 

2) 使 用 一 个 标准 的 文件 选择 窗口 ， 指 定 文件 名 和 位 置 。 

开始 扫描 

要 开始 企业 扫描 ， 单 击 Schedule( 计 划 )。 每 个 服务 器 的 扫描 结果 完成 后 ， 自 动 保存 在 用 
户 默 认 扫 描 的 文件 夹 中 。 服 务 器 的 名 称 以 及 日 期 和 时 间 戳 都 被 包含 在 文件 名 中 。WebInspect 
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会 提示 已 经 安排 在 某 个 时 间 进 行 扫描 ， 如 图 7-68 所 示 。 


本 | 


下 
Success 


外 New Enterprise Scan Scheduled 


The Enterprise Scan "New Enterprise Scan" has been 
successfully scheduled 


You can view the status or re-configure the Enterprise 
Scan by accessing the scan scheduler from either the 
home page (via the "Manage Scheduled Scans” Iink) 
or from the file menu (via the "Schedule menu item) 


回 Dont notify me about this in the future Ox 
图 7-68 企业 扫描 设置 完成 


注意 ，WebInspect 许 可 证 允许 用 户 扫描 特定 的 下 地址 或 一 个 地 址 范围 。 如 果 服务 器 有 一 
个 中 地 址 不 被 许可 证 允许 ， 该 服务 器 将 不 包含 在 扫描 中 。 


7.3.5 手动 扫描 


手动 扫描 (也 称 为 步 模式 ) 是 一 个 网 站 的 扫描 选项 ， 可 让 用 户 手 动 点 击 应 用 程序 可 访问 的 
任何 部 分 。 它 不 会 怜 行 整个 网 站 ， 但 会 记录 用 户 遇 到 的 手动 点 击 网 站 的 这 些 资 源 的 信息 。 此 
功能 最 常用 的 是 通过 一 个 登录 页 面 进入 网 站 或 定义 要 调查 该 应 用 程序 的 离散 子 集 ， 如 图 7-69 
所 示 。 

一 旦 完成 浏览 网 站 ， 用 户 可 审计 结果 来 评估 访问 和 记录 方面 的 安全 漏洞 。 

按照 下 面 的 步骤 来 记录 使 用 步 模式 网 站 : 

1) 在 WebInspect 菜单 栏 上 ， 单 击 File( 文 件 )， 再 依次 单 击 New( 新 建 ) 和 Basic Scan (基础 
扫描 )。 

或 者 ， 也 可 以 单 击 WebInspect 开始 页 选项 卡 ， 然 后 选择 Start a Basic Scan (启动 基础 扫描 )。 

2) 按照 基础 扫描 描述 ， 选 择 Manual( 手 动 ) 作 为 扫描 方法 ， 配 置 一 个 网 站 扫描 的 说 明 。 

3) 配置 所 有 扫描 参数 后 ， 单 击 Scan( 扫 描 )。 

4) 当 浏 览 器 打开 时 ， 用 它 来 浏览 目标 网 站 ， 访 问 想 记录 的 区 域 。 

5) 完成 后 ， 返 回 WebInspect 窗口 ， 然 后 单 击 Finish( 完 成 )。 

6) 当 导 航 窗 格 返 回 到 网 站 视图 时 ， 可 单 击 芒 udt (在 工具 栏 上 ) 来 审计 网 站 。 

如 果 使 用 步 模式 来 浏览 一 个 网 站 , 需要 基本 身份 验证 或 NTLM 认证 , WebInspect 将 记 住 
用 户 名 和 密码 ， 并 当 审 计 该 网 站 时 使 用 它们 。 每 个 服务 器 都 可 以 有 自己 的 认证 方案 ; 
WebInspect 将 步 模式 期 间 遇 到 的 每 个 服务 器 上 的 NTLM 和 基本 身份 验证 进行 区 别 。 


7.3.6 ”审阅 和 重新 测试 漏洞 


WebInspect 提供 儿 种 方法 来 检查 或 重新 测试 发 现 的 漏洞 。 
。 重新 测试 个 别 的 漏洞 

。 重新 测试 所 有 发 现 的 漏洞 

e 重新 扫描 整个 网 站 

。 比较 两 次 扫描 
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站 Er 


昌 区 http://zero.webappsecurity.com:80 
http://zero. webappsecurity.com:80/acctxferconfirm. asp [P' 
http://zero. webappsecurity. com-80/acctxferdone.asp [Quer 
http:/ /zero. webappsecurity. com-80/banklogin.asp [Query) 
http://zero.webappsecurity.com: 80/ccrgstr. html (Query) at 
hittp://zero. webappsecurity. com:80/login1.asp [Post login=| 

国 http://zero.webappsecurity.com:80/ 

| 语 | hittp://zero.webappsecurity.com:80/images/ 

[] http://zero.webappsecurity.com:80/acctrgstr.asp 

[http://zero.webappsecurity.com:80/acctsum.asp 

[9 http://zero.webappsecurity.com:80/acctsum.asp 

[9 http://zero.webappsecurity.com:80/acctxfer.asp 

[9 http://zero.webappsecurity.com:80/banklogin.asp 

口 http://zero.webappsecurity.com:80/bilpays.html 

[http://zero.webappsecurity.com:80/statmnt html 


SSISISISIS 


司 图 图 国 


< 
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图 7-69 使 用 步 模式 网 站 


1. 重新 测试 个 别 的 漏洞 


重新 测试 功能 是 一 个 非常 强大 的 工具 ， 它 确认 开发 商 已 经 固定 一 个 特定 漏洞 ， 而 不 必 进 
行 一 个 全 新 的 扫描 。 

1) 打开 扫描 。 

2) 在 导航 窗 格 右键 单 击 一 个 漏洞 会 话 ， 或 在 摘要 窗 格 中 的 Vulnerability( 漏 洞 ) 选 项 卡 上 
右键 单 击 一 个 漏洞 。 

3) 从 快捷 菜单 中 选择 Review Vulnerability( 审 阅 漏洞 )。 

4) 在 漏洞 审阅 窗口 中 ， 单 击 Retest( 重 新 测试 )。 

WebInspect 可 将 所 有 漏洞 路 径 重新 提交 到 服务 器 ， 并 对 原始 响应 (重新 提交 前 ) 的 每 个 结 
果 进 行 比较 ， 并 显示 相 匹配 的 原始 重新 测试 响应 的 百分比 。 这 表明 路 径 漏洞 是 否 被 准确 地 再 
现 。 每 个 HTTP 请 求 和 响应 的 原始 会 话 和 重新 测试 会 话 可 并 列 比 较 ， 立 刻 显露 任何 显著 的 变 
化 。 一 旦 该 项 目 已 被 确认 为 一 个 漏洞 ， 用 户 可 将 这 个 缺陷 提交 到 HP 质量 中 心 (ALM) 或 IBM 
Rational ClearQuest。 


2. 重新 测试 所 有 发 现 的 漏洞 


在 这 种 类 型 的 扫描 检查 中 ， 原 始 扫描 中 只 会 发 现 部 分 目标 网 站 的 漏洞 。WebImspect 不 进 
行 新 网 站 的 息 行 ， 而 只 是 追溯 漏洞 会 话 ( 记 录 在 原始 扫描 ) 和 攻击 资源 ， 并 使 用 先前 所 采用 的 
相同 方式 。 
使 用 在 摘要 窗 格 中 的 Vulnerability( 漏 洞 ) 选 项 卡 以 查看 结果 。 该 选项 卡 包含 一 个 名 为 
Repro( 重 现 ) 的 额外 列 ， 其 中 可 能 包含 以 下 值 : 
。 未 发 现 /固定 (Not Found/Fixed): 在 原始 扫描 检测 到 的 漏洞 ， 通 过 重新 测试 未 找到 。 这 
些 漏洞 会 显示 灰色 文本 。 用 户 可 以 对 这 些 项 目的 漏洞 进行 审阅 和 重新 测试 。 括 号 中 
的 百分比 表示 对 这 个 判定 的 一 个 启发 式 的 置信 水 平 。 
e 再 现 (Reproduced): 原始 扫描 和 重新 测试 检测 到 相同 的 漏洞 ， 即 该 漏洞 仍然 存在 。 
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e 新 建 New): 重新 测试 检测 到 ， 但 不 是 原始 扫描 报告 中 的 漏洞 。 
重新 测试 所 有 漏洞 : 

1) 执行 下 列 操作 之 一 : 

e 打开 扫描 。 

。 选择 管理 扫描 页 面 上 的 扫描 。 

2) 单 击 Rescan( 重 新 扫描 )， 并 选择 Verify Vulnerabilities( 验 证 漏洞 )。 


3. 重新 扫描 网 站 


重新 扫描 功能 可 以 轻松 地 从 一 个 打开 的 (或 选 定 的 ) 扫 描 转 换 到 原始 扫描 预 装 设置 的 扫描 
向 导 。 用 户 可 能 希望 更 新 网 站 (和 原始 扫描 使 用 相同 的 设置 )， 以 确定 先前 是 否 发 现 的 漏洞 已 
经 被 修复 和 一 个 新 的 漏洞 是 否 被 发 现 。 或 者 ， 可 能 想 调整 一 些 设置 来 改善 疏 行 或 审计 。 

1) 执行 下 列 操作 之 一 : 

e 打开 扫描 ， 单 击 工具 栏 的 Rescan( 重 新 扫描 ) 按 钮 ， 然 后 选择 Scan Again( 再 次 扫描 )。 

e 在 WebInspect 开始 页 面 ， 单 击 Manage Scans( 管 理 扫描 )， 然 后 选择 一 个 扫描 和 单 击 

Rescan( 重 新 扫描 )。 

2) 使 用 扫描 向 导 ， 可 选择 修改 用 于 原始 扫描 的 设置 。 

注意 : 扫描 名 称 的 默认 设置 为 <original scan_name>-1。 如 果 进 行 重新 扫描 ， 追 加 到 默认 
名 称 ， 整 数 部 分 的 值 递增 。 

3) 在 扫描 向 导 的 最 后 一 步 ， 单 击 Scan( 扫 描 )。 


4. 比较 扫描 


可 通过 比较 同一 目标 的 两 个 不 同 扫描 来 发 现 漏洞 ， 并 使 用 这 些 信息 ， 如 图 7-70 所 示 。 


n 


Scan B: Sorwce: htp:llleqacy wabappeecurty camVC 
Start Ut: hep//legacy wabappsecurty con 
Date: 2014/918 73:22:02 

Polar SOMp 

Teauass yy soves: 0 

Unique/Total Seasiona: 321 130 Unique/Total Seasions 17/ 95 

Session Coverage: 7091% Overep with scan Session Coverage: B21i% Overap wihScanA 是 


图 7-70 ”比较 扫描 结果 图 


验证 补丁 : 漏洞 被 确定 时 ， 比 较 初 始 扫描 检测 到 的 漏洞 和 后 续 网 站 扫描 到 的 漏洞 。 
检查 扫描 健康 : 更 改 扫描 设置 ， 这 些 变化 扩大 了 攻击 面 的 验证 。 

发 现 新 漏洞 : 确定 是 否 有 新 的 漏洞 已 经 在 网 站 的 更 新 版 本 中 推出 。 

调查 问题 : 追求 异常 现象 ， 如 误 报 或 遗漏 的 漏洞 。 

比较 授权 访问 : 使 用 两 个 不 同 的 用 户 账户 来 发 现 漏洞 的 执行 扫描 ， 该 漏洞 对 于 两 个 
账户 是 独 有 的 或 共有 的 。 
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注意 : 两 个 扫描 数据 必须 存储 在 同一 个 数据 库 类 型 (SQL Server Express 与 SQL Server 
Standard/Enterprise)。 

请 执行 下 列 操 作 之 一 来 比较 两 次 扫描 : 

e 从 管理 扫描 页 面 ， 选 择 两 个 扫描 和 单 击 比较 。 

e。 从 含有 打开 扫描 选项 卡 中 ， 单 击 Compare( 比 较 ); 然后 从 扫描 比较 对 话 框 的 列表 中 选 

择 扫描 和 单 击 比较 。 

如 果 选 择 扫描 有 不 同 的 起 始 网 址 ， 或 者 如 果 使 用 不 同 的 扫描 策略 ， 或 者 如 果 扫 描 是 不 同 
的 类 型 (如 一 个 基础 扫描 与 一 个 Web 服务 扫描 )， 应 用 程序 将 出 现 一 条 警告 消息 ， 可 以 选择 继 
续 ， 也 可 以 终止 功能 。 

仪表 板 

对 于 扫描 A 和 扫描 B，Vulnerability Compare( 漏 洞 比 较 ) 选 项 卡 的 仪表 板 显示 以 下 信息 : 
扫描 A/B: 扫描 的 名 称 。 
起 始 URL: 目标 网 站 的 网 址 。 
日 期 : 执行 原始 扫描 的 日 期 和 时 间 。 
策略 : 用 于 扫描 策略 。 
问题 : 检测 到 的 漏洞 和 误 报 的 数量 。 
独 有 /会 话 总 数 : 此 扫描 创建 了 独 有 的 会 话 数量 ， 相 比 于 会 话 总 数 。 
会 话 覆 盖 : 常见 两 种 扫描 的 会 话 百分比 。 

仪表 板 描绘 两 个 集合 的 维 恩 图 (也 叫 文 氏 图 ): 通过 扫描 A( 黄 色 圆 圈 表 示 ) 的 漏洞 发 现 和 扫 
描 B( 蓝 色 圆圈 表示 ) 的 漏洞 发 现 。 两 个 集合 的 交集 是 由 绿色 的 重 麦 表示 。 该 图 进行 缩放 ， 以 
反映 两 个 集合 之 间 的 实际 关系 ， 如 图 7-71 所 示 。 

仪表 板 还 显示 独 有 的 漏洞 数量 ， 按 严重 程度 ， 由 每 个 单独 扫描 和 那些 由 两 个 扫描 (交集 ) 
检测 发 现 ， 用 柱状 图 表示 这 些 结果 ， 如 图 7-72 所 示 。 


图 7-71 两 个 集合 的 维 恩 图 


ww 

14 (Gs ) 0 7 59 0 
Click number to populate Summary pane 
with these items. 


图 7-72 A 中 唯一 漏洞 的 数量 


在 摘要 窗 格 中 显示 一 个 或 两 个 扫描 检测 到 的 漏洞 列表 ， 从 漏洞 中 选择 一 个 过 滤器 比较 面 
板 。 选 项 包括 : 
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A 和 B 的 并 集 。 
和 A 独 有 的 。 
B 独 有 的 。 
A 和 B 的 交集 。 
也 可 以 单 击 维 恩 图 的 相应 部 分 显示 A 独 有 的 和 /或 B 独 有 的 所 发 现 漏洞 。 
注意 ， 当 比较 扫描 时 ，WebInspect 忽略 主机 和 端口 。 考 虑 到 运行 在 不 同 服务 器 的 两 个 重 
复 的 网 站 。 一 个 正在 开发 的 网 站 可 能 在 http://dev.mysite.com 运 行 ， 而 同一 个 网 站 可 能 会 在 
http://QA.mysite.com 来 进行 测试 。 当 比较 两 个 扫描 之 间 的 会 话 和 漏洞 时 ， 不 考虑 主机 的 URL 
和 端口 。 
例如 : 
扫描 A: 会 话 1 是 一 个 http 到 url http://qa.mysite.com/stuff/page/info.asp 的 请 求 。 它 有 一 
个 漏洞 。 
扫描 B: 会 话 1 是 一 个 http 到 url http://dev.mysite.com:8080/stuffpage/info.asp 的 请 求 。 它 
和 扫描 A 中 的 会 话 1 具有 相同 的 漏洞 。 
当 比 较 扫 描 时 ， 会 话 1 会 显示 为 “A 和 B 相交 ”。 
严重 性 
从 严重 性 面板 根据 严重 性 选择 一 个 或 多 个 选项 来 进一步 过 滤 漏 洞 列表 。 选 择 是 取 并 集 。 
注意 ， 也 可 以 分 组 和 过 滤 结 果 。 
默认 情况 下 ， 网 格 显示 以 下 栏目 ， 路径、 方法 、 漏 洞 号 参数 和 扫描 名 称 。 要 添加 或 删除 
请 右键 单 击 列 标题 栏 并 选择 Columns( 列 )。 可 用 列 如 下 : 
e 严重 性 (Severity): 该 漏洞 的 相对 评价 ， 从 低 到 关键 。 请 参阅 下 面 的 相关 图 标 ， 如 图 
7-73 所 示 。 
检查 (Check): WebInspect 探测 特定 的 漏洞 ， 如 跨 网 站 脚本 、 未 加 密 的 登录 表单 等 。 
路 径 (Path): 指向 资源 的 完整 路 径 。 
方法 (Method): HTTP 方法 ， 如 GET、POST 等 。 
堆栈 (Stack); 从 SecurityScope 获得 堆栈 跟踪 信息 。 此 列 当 且 仅 当 扫 描 SecurityScope 
被 安装 在 目标 服务 器 上 时 可 用 。 
漏洞 号 参数 (Vuln Param): 有 漏洞 的 参数 名 称 。 
参数 (Parameters): 分 配 的 参数 和 值 名 称 。 
手动 (Manual): 如 果 该 漏洞 被 手动 创建 ， 显 示 一 个 复 选 标记 。 
重复 (Duplicates): 通过 SecurityScope 检测 到 的 漏洞 可 以 追溯 到 同一 个 源头 。 
位 置 (Location): 路 径 加 上 参数 。 
CWE ID(CWE ID): 与 漏洞 相关 的 共同 弱点 枚 举 标识 符 。 
e 扫描 名 称 (Scan Name): 扫描 A 和 /或 扫描 B。 
漏洞 的 严重 性 由 图 7-33 中 所 示 的 图 标 表 示 。 
Critical High Medium Low 


娄 | 全 | 日 | 眉 


图 7-73 ”漏洞 严重 性 图 标 


列 
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随 着 会 话 被 选中 ， 也 可 以 通过 从 会 话 信息 面板 中 选择 一 个 选项 ， 查 看 相关 信息 

对 于 发 送 和 查询 参数 ， 单 击 参数 列 中 的 条 目 显示 参数 的 一 个 可 读 性 概要 。 

FilesToURLs 工具 

作为 正常 安装 过 程 的 一 部 分 ，WebInspect 安装 两 个 命令 行 实 用 程序 (FilesToURLs.exe 和 
FilesToURLspy)， 虽 在 发 现 和 评估 所 有 网 站 资源 。 当 在 服务 器 上 执行 时 ， 该 实用 程序 会 检查 
目标 网 站 上 的 所 有 文件 , 并 创建 包含 每 个 检测 的 URL 的 XML 文件 。 然 后 , 配置 基础 扫描 时 ， 
可 选择 列表 驱动 的 扫描 方法 ， 并 提交 该 XML 文件 。 表 7-11 列 出 FilesToURLs.exe 的 用 法 。 
表 7-12 列 出 FilesToURLspy 的 用 法 。 

注意 ，FilesToURLs.exe 需要 NET Framework 4.0 或 更 高 版 本 。FilesToURLs.py 需要 
Python2.6。 

要 创建 XML 文件 并 将 其 包含 在 一 个 扫描 中 : 

1) 找到 FilesToURLs.exe( 在 UNIX 系统 中 ,找到 FilesToURLs.py)。 默 认 位 置 是 Ci\Program 
Files\HP\HP WebInspect。 

2) 使 用 网 络 共享 (或 将 文件 复制 到 用 户 的 Web 服务 器 后 ), 运行 该 实用 工具 , 根据 下 面 的 
描述 使 用 。 

3) 启动 WebInspect。 

4) 在 扫描 向 导 的 第 一 步 ， 选 择 List-Driven Scan( 列 表 驱 动 的 扫描 )。 

5) 单 击 浏览 按钮 ， 选 择 由 FilesToURLs 实用 程序 生成 的 XML 文件 。 

6) 完成 向 导 并 开始 扫描 。 


表 7-11 使 用 FilesToURLs.exe 


参数 明 
/docroot Web 文件 存储 在 本 地 路 径 ( 
/outfile 要 创建 的 XML 文件 的 名 称 
/include 现 有 的 文件 ， 其 内 容 应 包含 在 输出 中 
/hostname 文件 服务 (默认 值 : 本 地 主机 名 ) 的 主机 名 
/baseurl 文件 服务 的 基础 URL( 默 认 是 : /) 
/port 该 Web 服务 器 正在 侦 听 的 端口 (默认 ，80 或 443) 
/secure 指示 该 端口 正在 使 用 SSL 
表 7-12 使 用 FilesToURLs.py 
选 项 说 ”了 明 
-h. --help 显示 帮助 消息 并 退出 
-d DOCROOT, --docroot=-DOCROOT Apache 的 文档 根 目录 或 文件 服务 的 其 他 目录 
-OFILE, -outfile=FILE 输出 到 文件 (默认 为 STDOUT) 
-iFILE, --include=FILE 在 输出 中 包含 文件 的 内 容 


n HOSTNAME, -hostname=HOSTNAME 
-b BASEURL, -baseurl=BASEURL 
DP PORT, -port-PORT 


Web 服务 器 的 主机 名 (默认 为 本 地 主机 名 ) 
来 自 服务 文件 (默认 为 /的 基本 URL 

服务 正在 侦 听 的 端口 (默认 为 80 或 443) 
使 用 SSL 指定 监听 端口 (默认 为 false) 


-S, --SectTe 


。282 。 软件 安全 测试 及 工具 应 用 


该 列表 驱动 扫描 选项 也 可 以 使 用 手动 创建 的 纯 文本 文件 ， 而 不 是 由 FilesToURLs 实用 程 
序 生成 的 XML 文件 。 每 行列 出 一 个 URL。 每 个 URL 必须 完全 合法 ， 并 且 必 须 包括 协议 ( 例 
如 ，http:// 或 https://)。 

ee IPV6 

e@ ”WebInspect( 从 8.1 版 开始 ) 支 持 Intemet 协议 版 本 6(IPv6) 地 址 的 网 站 和 网 络 服务 扫描 。 
当 指 定 起 始 URL， 则 必须 将 IPv6 地 址 写 在 括号 内 。 例 如 : 
。 错误 ! 超 链接 引用 无 效 。 
e WebImspect 扫描 “localho st”。 
。 WebInspect 扫描 主机 开始 于 “ 子 文件 夹 ” 目 录 的 指定 地 址 。 


7.4 WebInspect 工具 简介 


一 套 强 大 的 诊断 和 渗透 测试 工具 集成 在 WebInspect 中 。 包 括 : 
审计 输入 编辑 器 
Cookie Cruncher 
编码 器 /解码 器 
HTTP 编辑 器 
日 志 查 看 器 
策略 管理 器 
正则 表达 式 编辑 器 
报表 设计 器 
Server 分 析 
Server 事件 探查 器 
智能 更 新 
SQL 注入 
SWF 扫描 
Web Brute 
网 络 发 现 
Web 窗 体 编辑 器 
网 络 Fuzzer 
相 络 宏 录 制 
Web 代理 
Web 服务 测试 设计 
WebInspect 安装 也 包括 HP 支持 工具 , 它 提 供 了 一 种 简捷 的 方法 来 上 传 文件 , 可 帮助 HP 
技术 支持 人 员 分 析 和 解决 用 户 在 使 用 应 用 程序 安全 中 心 产品 时 直到 的 任何 问题 。 
当 使 用 集成 代理 工具 时 ， 即 使 证 书 是 必需 的 ， 用 户 也 可 能 会 遇 到 服务 器 不 需要 客户 端 证 
书 的 情况 。 在 需要 证 书 时 ， 必 须 编 辑 SPLNet.Proxy.Config 文件 。 
步骤 如 下 : 
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1) 打开 Microsoft Intemet Explorer 中 。 

2) 单 击 Tools( 工 具 )， 再 单 击 Intemet Options(Intemet 选项 )。 

3) 在 Intemet 选项 窗口 中 ， 选 择 Content( 内 容 ) 选 项 卡 ， 然 后 单 击 Certificates( 证 书 )。 

4) 在 证 书 窗口 中 ， 选 择 一 个 证 书 ， 然 后 单 击 View( 查 看 )。 

5) 在 证 书 窗口 中 ， 单 击 Details( 详 细 信 息 ) 选 项 卡 。 

6) 单 击 Serial Number( 序 列 号 字段 ) 和 复制 出 现在 下 部 窗 格 中 的 序列 号 (突出 的 号 码 , 然 后 
按 Ctrl + C 键 )。 

7) 关闭 所 有 窗口 。 

8) 打开 要 编辑 的 SPILNet.Proxy.Config 文件 。 默 认 位 置 是 C:\Program Files\HP\HP 
WebInspect( 或 用 户 自 定义 安装 位 置 )。 

9) 在 客户 端 证 书 覆 盖 部 分 ， 添 加 以 下 条 目 : 

<ClientCertificateOverride HostRegex="RegularExpression" CertificateSerialNumber="Num 
ber"/> 

其 中 ，RegularExpression 是 一 个 匹配 主机 URL 的 正则 表达 式 (例如 : .*austin\.hp\.com). 

10) 保存 编辑 的 文件 。 


7.4.1 策略 管理 器 


当 使 用 WebInspect 审计 或 耻 行 Web 应 用 程序 时 ， 策 略 是 审计 引擎 和 攻击 代理 的 集合 。 
每 个 部 件 都 有 一 个 特定 的 任务 ， 比 如 测试 易 感 性 跨 网 站 脚本 ， 网 站 建设 树 ， 探 测 已 知 的 服务 
器 漏洞 等 ， 这 些 组 件 被 分 为 以 下 几 组 : 

1) 审计 引擎 

2) 一 般 应 用 测试 

3) 通用 文本 搜索 

4) 第 三 方 Web 应 用 程序 

5) Web 框架 /语言 

6) Web 服务 器 

7) 网 站 发 现 

8) 自 定义 检查 

所 有 这 些 组 件 (除了 审计 引擎 ) 统 称 为 攻击 群 。 每 个 攻击 组 所 包含 的 单个 模块 ( 称 为 攻击 代 
理 ) 的 子 组 检查 用 户 网 站 的 漏洞 。 

WebInspect 包含 的 几 个 预 包 装 策略 旨 在 满足 大 多 数 用 户 的 需要 。 所 有 的 策略 包含 所 有 可 
能 的 审计 引擎 和 代理 ， 但 每 个 策略 都 有 这 些 组 件 可 使 用 的 不 同 子 集 。 用 户 可 通过 启用 或 禁用 
审计 引擎 和 /或 个 人 攻击 代理 (或 代理 组 ) 来 编辑 策略 。 用 户 可 编辑 现 有 策略 ， 也 可 用 新 名 称 保 
存 并 创建 一 个 策略 。 


7.4.2 审计 输入 编辑 器 
有 两 种 方法 来 访问 审计 输入 编辑 器 : 
e 从 策略 管理 器 (使 用 策略 管理 器 Tools( 工 具 ) 菜 单 ). 使 用 此 方法 来 创建 或 修改 一 个 输入 
文件 (<filename>.inputs)。 然后， 用 户 可 以 修改 扫描 设置 来 指定 该 文件 。 要 修改 输入 文 
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件 ， 单 击 审计 输入 编辑 工具 栏 的 打开 图 标 或 选择 File( 文 件 )， 然 后 选择 Open( 打 开 )。 
e 从 默认 或 当前 设置 (在 攻击 排除 设置 中 单 击 审计 输入 编辑 器 按钮 )。 使 用 这 种 方法 ,用 
户 可 以 直接 修改 默认 设置 ， 但 不 能 创建 一 个 单独 的 输入 文件 。 
但 是 , 如 果 从 策略 管理 器 访问 审计 输入 编辑 器 , 必须 导入 到 WebInspect 包含 检查 输入 修 
改 的 保存 文件 。 要 做 到 这 一 点 : 
1) 在 WebImspect 菜单 栏 中 ， 单 击 Edit( 编 辑 )， 然 后 单 击 Default Settings( 默 认 设置 )。 
2) 选择 Attack Exclusions( 攻 击 排除 )。 
3) 单 击 Import Audit Inputs( 导 入 审计 输入 )。 
4) 选择 用 户 所 创建 的 文件 ， 然 后 单 击 Open( 打 开 )。 
当 通 过 当前 设置 或 默认 设置 窗口 访问 时 ，Attack Exclusions 面板 、 审 计 输入 编辑 器 不 包 
含 菜单 栏 或 工具 栏 。 


7.4.3 ”Web 窗 体 编辑 器 


大 多 数 Web 应 用 程序 都 包含 输入 控件 (文本 框 ， 按 钮 ， 下 拉 列 表 等 ) 组 成 的 形式 。 提 交 表 
单 给 代理 处 理 之 前 ， 用 户 一 般 通 过 修改 控制 (如 输入 文本 或 检查 框 )“ 完 成 ”表单 。 通 常 ， 这 
种 处 理会 导致 用 户 导航 到 另 一 页 面 或 应 用 程序 的 一 部 分 。 例 如 ， 完 成 一 个 登录 表单 后 ， 用 户 
将 进入 到 应 用 程序 的 开始 页 面 。 

有 些 网 站 (如 WebInspect 银行 应 用 示例 zero.webappsecurity.com) 包 含 许多 不 同 的 表单 来 
完成 各 种 交易 。 如 果 WebInspect 是 导航 应 用 程序 中 所 有 可 能 存在 的 联系 ， 它 必须 能 够 为 每 个 

用 户 可 以 指定 一 个 表单 输入 为 “全 局 ”， 这 意味 着 它 的 值 将 被 提交 给 具有 同名 属性 的 任 
何 输入 控制 ， 无 论 该 URL 发 生 在 哪里 。 

在 扫描 过 程 中 ， 如 果 WebInspect 发 现 一 个 输入 控件 的 名 称 属性 和 用 户 创建 的 文件 不 匹 
配 ， 将 提交 一 个 默认 值 (12345)。 

注意 ， 如 果 用 户 使 用 的 是 代理 服务 器 ，Web 窗 体 编辑 器 将 不 会 使 用 默认 设置 。 必 须 首先 
配置 Intemet Explorer 以 便 使 用 所 需 的 代理 。 

有 两 种 方法 来 创建 表单 值 的 列表 : 手动 创建 列表 和 通过 应 用 程序 浏览 记录 值 。 


7.4.4 Web Brute 


此 工具 将 确定 用 户 名 和 密码 是 否 很 容易 猜 到 。 例 如 ， 如 果 一 个 客户 访问 网 站 时 ， 使 用 
customer 用 户 名 和 password 密码 ， 你 可 能 会 想 告 诫 该 用 户 他 的 密码 和 用 户 名 的 脆弱 性 ， 并 建 
议 他 改变 密码 和 /或 用 户 名 。 

Web Bmte( 网 络 狂 人 ) 将 尝试 登录 表单 或 认证 页 面 的 “Bmte Force” 攻 击 ， 使 用 用 户 名 和 
密码 两 个 准备 清单 。 

注意 ， 这 是 一 种 侵入 式 攻 击 ， 并 奖 入 到 安全 区 域 。Brmte Force 攻击 仅 用 于 测试 ， 而 不 应 
被 用 于 对 抗 不 知情 的 网 站 。 
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7.4.5 ”网 络 发 现 
使 用 网 络 发 现在 企业 环境 中 找到 所 有 打开 的 主机 ， 如 图 7-74 所 示 。 


Web Discovery 


Search Addresses 
IPVAIIPVE Addresses (or ranges) 


172.16.10.0-172.16.10.29| 80:443 
Example: 192.168.0.1-192.168.0.12:172.16.10.20; 2001:0db8::1428:57ab Example: 80-100;443 
Total IP addresses specified: 30 Total ports specified: 2 


Discovered End Points 
Selection IP Address Port 


图 7-74 使 用 网 络 发 现在 企业 环境 中 找到 所 有 打开 的 主机 


网 络 发 现 将 数据 包 发 送 到 所 有 开放 的 端口 (一 定 范围 内 的 他 地 址 和 指定 的 端口 )， 搜 索 特 
定 信息 服务 器 的 响应 ， 然 后 显示 结果 。 有 包含 网 络 发 现 的 两 个 预定 义 数据 包 : Web 服务 器 和 
SSL Web 服务 器 。 它 们 都 包含 GET/HTTP/1.0 的 HTTP 请 求 : 网 络 发 现 用 字符 串 “HTTP” 搜 
索 HITP 响应 ， 如 果 找 到 该 字符 串 ， 它 显示 人 P 地 址 、 端 口号 以 及 文本 “WebServer，” 后 跟 
一 个 旨 在 显示 服务 器 的 名 称 和 版 本 号 的 正则 表达 式 搜索 结果 。 
和 户 可 在 文本 文件 中 保存 搜索 的 服务 器 列表 。 
7.4.6 ”编码 器 /解码 器 

该 工具 允许 使 用 Base64、 十 六 进 制 、MD5 和 其 他 方案 来 编码 和 解码 值 。 也 可 以 将 一 个 
字符 串 转换 为 Unicode 字符 串 ， 并 在 URL 中 使 用 特殊 字符 。 在 扫描 结果 进行 分 析 期 间 ， 当 遇 
到 怀疑 之 处 时 ， 编 码 或 加 密 格 式 的 字符 串 可 以 进行 复制 ， 将 其 粘贴 到 编码 器 /解码 器 工具 ， 然 
后 单 击 解码 ， 如 图 7-75 所 示 。 
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将 Encoders/Decoders 
Ble Edt Hep 
[3 1 |G)Encode (€)Decode | Encoding: ROT 13 EP 
Text Encoding Character Set 
1234557830 | Select By 
OO Character Set Name © Display Name 


Westem European (Windows) 


Westem European (Windows) 
Charecter 


(VW 
Set "Windows-1252" 
Code Page 1252 


Hex Display 


31 32 33 34 35 36 37 33 39 30 


口 peaea os 


图 7-75 编码 器 /解码 器 工具 


7.4.7 ”正则 表达 式 编辑 器 


正则 表达 式 是 描述 一 组 字符 串 的 模式 。 正 则 表达 式 通过 使 用 各 种 运算 符 来 组 合 更 小 的 
表达 式 构造 ， 类 似 于 数学 表达 式 。 只 有 高 级 用 户 才能 用 正则 表达 式 的 知识 使 用 此 功能 ， 如 
图 7-76 所 示 。 


篇 Regular Expression Editor 


Ele Edt Help 


gr lale)y 


[Search Text 


pr. Gray has grey hair and a greyhound. 


Execution Time; <1 ms; 3 matche(s) 


图 7-76 ”正则 表达 式 编辑 器 


7.4.8 ”HTTP 编辑 器 


使 用 HITP 编辑 器 来 创建 或 编辑 请 求 ， 将 其 发 送 到 服务 器 ， 并 查看 在 原始 的 HIML 或 
在 浏览 器 中 呈现 的 响应 。 
HTTP 编辑 器 是 手动 黑客 工具 ， 如 图 7-77 所 示 。 
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:和 芒 园 | 国 SendAsls 加 Show History 


Fle Edit View Help 
Location: http://localhost:80/ 


(Select a request action) lO Search Text 


User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322) 
lHost: localhost 


7-77 HTTP 编辑 器 


7.4.9 Web 代理 


Web 代理 是 一 个 独立 的 代理 服务 器 ， 可 在 桌面 上 配置 和 运行 。 

有 了 它 ， 你 可 以 从 WebInspect、 浏 览 器 、 或 其 他 工具 监控 流量 。 它 是 用 于 调试 和 渗透 扫 
描 的 工具 : 当 浏览 一 个 网 站 ， 用 户 可 以 看 到 每 个 请 求 和 服务 器 响应 。 

用 户 还 可 以 创建 启动 宏 或 使 用 登录 宏 。 

使 用 Web 代理 服务 器 与 浏览 器 之 前 ， 必 须 配 置 浏览 器 的 代理 设置 。 如 果 使 用 Intermet 
Explorer: 

1) 单 击 Tools( 工 具 )， 再 单 击 ntemet Options(Intemet 选项 )。 

2) 单 击 Connections( 连 接 ) 选 项 卡 。 

3) 单 击 LAN Settings(LAN 设置 )。 

4) 在 LAN( 局 域 网 ) 设 置 窗口 中 , 选择 Use a Proxy Server for your LAN( 为 局 域 网 使 用 代理 
服务 器 )， 并 输入 代理 服务 器 要 使 用 的 地 址 和 端口 。 默认 情况 下 ，Web 代理 服务 器 使 用 本 地 主 
机 设置 (127.0.0.1:8080)。 

用 户 还 应 该 在 Microsoft Intemet Explorer 中 通过 代理 连接 使 用 HTTP1.1。 在 Intemet 
Explorer: 

1) 单 击 Tools( 工 具 )， 再 单 击 ntemet Options(Intemet 选项 )。 
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薄 


2) 单 击 Advanced( 高 级 ) 选 项 卡 。 
3) 在 HITP 1.1 设置 部 分 , 选择 Use HITP 1.1 through proxy connections( 通 过 代理 连接 使 
j HTTP 1.D。 


7.4.10 智能 升级 


使 用 智能 更 新 下 载 最 新 的 方案 ， 以 及 漏洞 和 策略 信息 。 智 能 升级 也 保证 了 使 用 
WebInspect 的 最 新 版 本 ， 如 果 该 产品 的 新 版 本 可 供 下 载 也 会 提示 。 通 过 智能 更 新 下 载 的 新 漏 
洞 检查 不 会 自动 添加 到 创建 的 任何 自 定义 策略 。 

注意 ， 对 于 AMP 安装 ， 如 果 使 用 WebInspect 智能 更 新 更 改 或 替换 某 个 AMP 的 相关 文 
件 ， 检 测 部 件 服务 可 能 会 停止 ， 检 测 部 件 会 显示 状态 为 “ 脱 机 ”。 必 须 启 动 WebInspect 应 用 
程序 并 重新 启动 服务 。 要 做 到 这 一 点 ， 从 AMP 的 菜单 中 选择 配置 ， 然 后 单 击 AMP 配置 窗口 
的 Sensor Service( 检 测 部 件 服务 ) 选 项 卡 上 的 Start( 开 始 ) 按 钮 。 

1) 从 工具 栏 中 , 单 击 Smart Update( 智 能 更 新 ) 或 从 Tools( 工 具 ) 菜 单 中 选择 Smart Update( 智 
能 更 新 )， 或 从 WebInspect 开始 页 选择 启动 Smart Update( 智 能 更 新 )。 

2) 有 可 用 更 新 时 ， 智 能 更 新 窗口 显示 多 达 三 个 独立 的 可 折合 面板 来 下 载 以 下 内 容 : 

e 新 的 和 更 新 检查 

e WebInspect 软件 

e 智能 更 新 软件 

选择 一 个 或 多 个 下 载 选项 的 关联 复 选 框 。 

3) 确定 要 安装 的 更 新 ， 单 击 Download( 下 载 )。 

如 果 还 没有 可 用 的 WebInspect 新 版 本 ， 惠 普 将 继续 提供 更 新 的 知识 库 ， 但 只 有 10 天 期 
限 。 超 过 这 个 时 间 ， 直 到 你 下 载 新 的 WebInspect 软件 ， 更 新 才 可 用 。 


7.4.11 Cookie Cruncher 


Cookie Cruncher 分 析 Cookie 相对 容易 确定 。 

网 页 的 超 文本 传输 协议 (HTTP) 是 无 状态 的 ， 这 意味 着 每 个 通信 是 离散 的 ， 不 涉及 发 生 的 
先后 顺序 。 因 为 没有 连续 性 固有 的 协议 ， 应 用 程序 设计 人 员 推 出 了 “会 话 ” 概 念 。 当 用 户 登 
录 到 应 用 程序 中 ， 会 在 服务 器 上 创建 会 话 ， 以 维护 来 自 同 一 个 用 户 的 该 状态 的 其 他 请 求 。 

每 个 会 话 都 有 一 个 唯一 的 标识 符 (会 话 ID)。 这 个 文本 字符 串 在 客户 端 和 服务 器 之 间 传 
输 ， 并 且 可 以 存储 在 Cookie、URL 或 网 页 的 隐藏 字段 。 与 会 话 ID 相关 的 一 个 问题 是 ， 许 多 
网 站 使 用 的 时 间或 他 地 址 算法 具有 可 预测 性 。 这 种 可 预测 性 使 得 网 站 容易 受到 会 话 劫 持 。 


7.4.12 ”网络 Fuzzer 


Fuzzer( 模 糊 测试 ) 是 生成 和 提交 随机 或 连续 的 数据 到 应 用 的 各 个 领域 中 , 试图 发 现 安全 漏 
洞 的 自动 化 软件 测试 技术 。 例 如 ， 搜 索 缓冲 区 溢出 的 时 候 ， 测 试 者 可 以 简单 地 生成 各 种 大 小 
的 数据 并 将 其 发 送 到 应 用 程序 入 口 点 之 一 ， 观 察 应 用 程序 如 何 处 理 它 。 

网 络 Fuzzer 可 运行 Web 应 用 程序 安全 漏洞 的 常见 几 类 自动 化 测试 ， 包括 SQL 注入 、 格 
式 字 符 串 、 跨 网 站 脚本 、 路 径 遍 历 、 缓 冲 区 溢出 以 及 协议 的 实施 问题 。 
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74.13 SQL 注入 


SQL 注入 是 利用 SQL 查询 中 的 客户 端 提供 的 数据 , 而 不 必 首 先 删除 可 能 有 害 字 符 的 Web 
应 用 程序 技术 。SQL 注入 支持 MS-SQL、Oracle、Postgress、MySQL 和 DB2 作为 数据 库 类 型 ， 
同时 还 支持 多 语言 系统 。 

对 于 SQL 注入 漏洞 工具 测试 ， 创 建 并 提交 HTTP 请 求 可 以 由 用 户 的 SQL 服务 器 处 理 。 
如 果 Web 应 用 程序 允许 使 用 由 用 户 提供 的 数据 来 更 新 或 创建 数据 库 记 录 ，SQL 注入 可 能 产 
生 虚 假 的 记录 。 为 避免 这 种 可 能 性 ， 不 测试 生产 数据 库 。 相 反 ， 使 用 该 数据 库 的 副本 ， 或 使 
不 访问 生产 数据 的 测试 账户 ， 或 排除 任何 可 以 更 新 或 删除 数据 库 中 数据 的 页 面 。 如 果 这 些 
替代 方案 不 可 行 ， 在 当 网 站 有 很 少 (或 根本 没有 ) 客 户 流量 的 一 次 测试 之 前 ， 备 份 生产 数 据 库 。 


7.4.14 ” 合 规 经 营 


WebInspect 采用 一 个 广泛 的 军火 库 (arsenal) 的 攻击 代理 ， 旨 在 检测 基于 Web 应 用 程序 中 
的 安全 漏洞 。 它 侦 测 用 户 的 系统 与 成 千 上 万 的 HITP 请 求 ， 并 评估 个 体 反 应 。 这 种 基于 会 话 
的 扫描 报告 每 个 漏洞 ， 精 确定 位 其 在 应 用 中 的 位 置 ， 并 建议 应 采取 的 纠正 措施 。 这 是 对 系统 
We 
能 通过 分 级 进行 定性 分 析 。 例 如 ， 健 康 保险 流通 与 责 任 法 案 (HIPAA) 要 求 医疗 服务 
was Web 提供 “创建 、 更 改 和 维护 密码 的 步骤 。” 用 户 可 评估 自己 的 
申请 ， 然 后 生成 合格 报告 ， 衡 量 应 用 程序 如 何 满足 HIPPA 规则 。 


7.4.15 日 志 查 看 器 


使 用 日 志 查 看 器 检查 由 WebInspect 维护 的 各 种 日 志 。 此 功能 主要 供 HP 产品 支持 小 组 调 
查 报告 事件 。 


7.4.16 ”流量 模式 的 Web 宏 录 制 (过 时 ) 


宏 是 当 访 问 并 登录 到 一 个 网 站 上 发 生 事件 的 记录 。 随 后 ， 用 户 可 指示 HP 扫描 仪 使 用 该 
记录 开始 扫描 。 

WebInspect 10.0 版 包括 一 个 Web 宏 录 制 工具 。 它 不 包括 在 以 前 的 版 本 中 提供 的 流量 模 
式 的 Web 宏 录 制 。 但 版 本 10.0 的 Web 宏 录 制 允许 打开 、 播 放 和 编辑 以 前 的 WebInspect 版 本 
中 创建 的 现 有 流量 模式 宏 , 并 创造 新 的 流量 模式 宏 , 使 用 它 的 Intemet Explorer 浏览 器 技术 ( 即 
正 技术 ) 选 项 。 当 录制 新 宏 时 ， 在 默认 情况 下 ，10.0 版 本 的 Web 宏 录 制 首 先 使 用 基于 事件 的 
记录 和 Firefox 浏览 器 技术 ， 但 如 果 由 于 某 种 原因 失败 ，Web 宏 录 制 会 自动 切换 到 访问 流量 
模式 的 正 技术 作为 一 种 蔡 代 方法 。 基 于 它 的 多 功能 性 ，10.0 版 本 的 Web 宏 记录 也 称 为 统一 
的 Web 宏 录制 。 


7.4.17 ”基于 事件 的 IE 浏览 器 兼容 的 Web 宏 录 制 (隐藏 ) 


WebInspect 10.0 版 包括 一 个 Web 宏 录 制 工 具 。 默 认 情况 下 ， 它 使 用 基于 事件 的 功能 和 
Firefox 浏览 器 技术 录制 新 宏 。 在 以 前 的 版 本 中 提供 单独 的 基于 事件 的 正 浏览 器 兼容 的 Web 宏 
录制 无 法 再 通过 WebInspect 菜单 直接 访问 。 实 际 上 ， 它 是 隐藏 的 。 然 而 ， 正 如 本 节 所 述 ，10.0 
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版 本 的 Web 宏 录制 可 以 让 用 户 间接 打开 、 播 放 和 编辑 在 以 前 的 WebInspect 版 本 中 创建 的 基于 事 
件 的 宏 ， 也 允许 创建 新 宏 。 
注意 : HP 强烈 建议 使 用 WebInspect 10.0 版 本 的 Web 宏 录 制 来 记录 所 有 新 登录 宏和 工作 


th 


7.4.18 ”网 络 宏 录 制 (统一 ) 


用 Web 宏 录 制 工具 来 录制 登录 宏 。 而 Web 宏 录制 是 WebInspect 10.0 版 本 提供 的 唯一 直 
接 进入 宏 录 制 的 工具 ， 它 提供 (或 可 访问 ) 以 前 的 WebInspect 版 本 的 三 个 Web 宏 录 制 的 功能 。 
基于 它 的 多 功能 性 ，10.0 版 本 的 Web 宏 记 录 也 称 为 统一 的 Web 宏 录 制 。 
Web 宏 录制 可 以 采用 多 种 启动 方式 ， 同 时 配置 向 导 扫描 或 基础 扫描 。 
被 记录 在 一 个 基础 扫描 或 向 导 扫描 下 的 宏 可 以 在 任 一 类 型 的 扫描 中 使 用 。 
默认 情况 下 ，Web 宏 录 制 操作 使 用 相关 的 Firefox 浏览 器 技术 来 记录 和 播放 宏 。 它 也 可 以 使 
] Intemet Explorer 浏览 器 技术 (IE 浏览 器 技术 ) 来 记录 和 显示 网 络 流量 数据 。 


7.4.19 ”Server 事件 探查 器 


使 用 Server 事件 探查 器 来 进行 网 站 的 初步 审查 , 以 确定 某 个 WebInspect 设置 是 否 应 该 被 
修改 。 如 果 更 改 是 必需 的 , Server 事件 探查 器 返回 一 个 建议 列表 , 用 户 可 以 接受 或 拒绝 。 Server 
事件 探查 器 界面 如 图 7-78 所 示 。 

例如 ，Server 事件 探查 器 需要 检测 到 授权 才能 进入 网 站 ， 但 用 户 没有 指定 一 个 有 效 的 用 
户 名 和 密码 。 与 其 执行 将 返回 显著 减弱 结果 的 扫描 ， 用 户 可 按照 Server 事件 探查 器 的 提示 ， 
继续 配置 所 需 的 信息 。 

同样 ， 你 的 设置 可 能 会 指定 WebInspect 不 应 该 执行 “文件 未 找到 ”的 检测 。 这 个 过 程 对 
于 不 返回 一 个 “404 未 找到 ”状态 的 网 站 十 分 有 用 ， 当 客户 端 请 求 不 存在 的 资源 (可 能 代替 返 
回 状 态 “200 OK”， 但 响应 中 包含 一 条 找 不 到 该 文件 的 消息 )。 如 果 Server 事件 探查 器 确定 
该 计划 已 在 目标 网 站 实现 ， 它 会 建议 用 户 修改 WebInspect 设置 ， 以 适应 此 功能 。 
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图 7-78 Server 事件 探查 器 
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7.4.20 Server 分 析 


Server 分 析 考 查 一 个 服务 器 , 以 确定 服务 器 的 操作 系统 、 横 幅 、Cookie 和 其 他 信息 。Server 
分 析 界 面 如 图 7-79 所 示 。 


The underlying web server of the target/device has been 
identified as the following: 
ls5.0 


Allthe underlying web server fingerprints that partially 
matched this target/device: 


»13-1S50 

。7-IS40 

。3.1S70 

。3:NS60 

。 1: SumiPlanetUNetscape 
1-Apache 13x 


图 7-79 Server 分 析 


7.4.21 SWFScan 


HP 网 络 安全 研究 小 组 开发 SWFScan, 以 帮助 企业 使 用 Adobe Flash 平台 开发 安全 的 应 用 
程序 。 这 一 创新 工具 识别 许多 影响 Flash 应 用 程序 的 漏洞 ， 并 明确 说 明 如 何 消除 或 避免 这 些 
漏洞 。 

SWFScan 唯一 支持 所 有 版 本 的 Adobe Flash 和 ActionScript， 其 中 包括 ActionScript2 和 
3(Flash 版 本 9 和 10)。 

当 Intemet 或 Intranet 上 的 Flash 文件 指向 SWFScan, 或 从 本 地 计算 机 加 载 Flash 文件 时 ， 
SWFScan 反 编 译 SWF 字 节 码 ， 生 成 ActionScript 源 代码 ， 并 进行 静态 分 析 。 然 后 ,可 以 生成 
报告 。 

WFScan 还 提供 了 额外 的 关键 信息 (如 网 络 电话 、 外 部 域 的 请 求 等 ), 对 用 户 手 动 检查 Flash 
应 用 程序 十 分 有 用 。 


7.4.22 ”报告 设计 器 


报告 设计 器 是 由 Grape City - Data Dynamics 开发 的 ActiveReports 3.0 报告 设计 , 并 集成 
到 惠普 产品 中 。 它 具有 创建 和 修改 报告 的 功能 。 
告 设计 器 包含 6 个 主要 部 件 ， 如 图 7-80 所 示 : 


e@。 工具 栏 
e 设计 器 标签 
。 工具 箱 


e 设计 图 面 
。 报表 资源 管理 器 
。 属性 网 格 
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7-80 报告 设计 器 


7.4.23 ”HP 支持 工具 


HP 支持 工具 提供 了 一 种 快速 简便 的 方法 来 上 传 文件 , 可 以 帮助 HP 技术 支持 人 员 分 析 和 
解决 在 使 用 应 用 程序 安全 中 心 产品 遇 到 任何 问题 。 所 有 通信 都 使 用 SSL 或 FTPS 协议 。 如 
图 7-81 所 示 。 
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图 7-81 HP 支持 工具 
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7.4.24 ”Web 服务 测试 设计 


Web 服务 是 其 他 应 用 程序 (而 不 是 用 户 ) 和 信息 请 求 的 应 答 通 信 程 序 。 大 多 数 Web 服务 使 
用 简单 对 象 访问 协议 (SOAP) 发 送 XML 数据 ,与 HTML 不 同 , 它 只 是 描述 了 网 页 的 显示 方式 ， 
XML 提供 了 一 个 框架 描述 ， 并 包含 结构 化 数据 。 客 户 端 Web 应 用 程序 可 以 容易 地 理解 所 返 
回 的 数据 ， 并 将 该 信息 提供 给 最 终 用 户 。 

访问 Web 服务 的 客户 端 Web 应 用 程序 接收 到 一 个 Web 服务 定义 语言 (WSDL) 文 件 ， 以 
便 了 解 如 何 与 该 服务 进行 通信 。WSDL 文档 描述 包含 在 Web 服务 编程 的 程序 、 这 些 程序 期 望 
的 参数 以 及 客户 端 Web 应 用 程序 将 收 到 的 返回 信息 类 型 。 

使 用 Web 服务 测试 设计 来 创建 Web 服务 测试 设计 文件 (filename.wsd)， 该 文件 包含 进行 
Web 服务 扫描 时 WebInspect 提交 的 值 。 


7.5 本 章 小 结 


本 章 介绍 了 WebInspect 的 应 用 实践 ， 主 要 分 为 三 部 分 ， 第 一 部 分 介绍 了 WebInspect 的 基 
本 按钮 ， 包 括 按钮 栏 、 菜 单 栏 、 工 具 栏 以 及 其 他 一 些 组 件 。 第 二 部 分 主要 介绍 了 WebInspect 
的 5 大功 能， 是 第 一 部 分 基本 按钮 的 综合 使 用 ， 是 该 工具 的 应 用 核心 ， 包 括 向 导 扫 描 、 基 础 
扫描 、Web 服务 扫描 、 企 业 扫描 以 及 生成 报告 ， 通 过 基础 扫描 、Web 服务 扫描 、 企 业 扫描 可 
以 对 Web 应 用 程序 和 Web 服务 进行 漏洞 评估 ;生成 的 报告 可 以 对 漏洞 的 分 布 以 及 漏洞 代码 
有 更 全 面 的 直观 认识 ， 也 可 以 直接 将 此 报告 提交 给 网 站 开发 人 员 ， 让 他 们 根据 网 站 的 实际 情 
况 对 漏洞 进行 修复 。 第 三 部 分 是 对 WebInspect 一 套 强 大 诊断 和 渗透 测试 工具 的 简 述 ， 这 些 工 
具 集 成 在 WebInspect 中 ， 使 用 它们 能 更 方便 地 对 结果 进行 分 析 。 
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本 章 导 读 
Fortify 静态 代码 分 析 器 (Static Code Analyzer) 是 HP Fortify 公司 开发 的 一 个 静态 的 、 白 盒 
的 软件 源 代码 安全 测试 工具 。 它 通过 内 置 的 五 大 主要 分 析 引 擎 对 应 用 软件 的 源 代 码 进行 静态 
分 析 ， 期 间 与 它 特 有 的 软件 安全 漏洞 规则 集 进行 全 面 匹配 ， 从 而 将 源 代 码 中 存在 的 安全 漏洞 
扫描 出 来 ， 并 提供 整理 报告 和 修改 建议 。 
另外 , 本 章 还 将 介绍 实时 安全 分 析 器 (RTA) 和 程序 跟踪 分 析 器 (PTA) 的 基本 知识 。 
应 掌握 的 知识 要 点 : 
e。 HP Fortify 静态 代码 分 析 器 的 主要 特征 ; 
软件 安装 ; 
静态 代码 分 析 器 分 析 原 理 ; 
静态 代码 分 析 器 分 析 过 程 ; 
静态 代码 分 析 器 扫描 的 方式 ; 
静态 代码 分 析 器 转换 源 代码 ; 
Audit Workbench 用 户 指南 ; 
实时 安全 分 析 器 基本 知识 ; 
程序 跟踪 分 析 器 基本 知识 。 


8.1 HP Fortify 静态 代码 分 析 器 的 主要 特征 


8.1.1 Fortify SCA 概述 


Fortify SCA (Static Code Analyzer) 是 一 组 软件 安全 分 析 器 , 能 够 在 多 种 语言 中 搜索 那些 违 
背 安全 编码 规则 和 指导 原则 的 情况 。 由 Fortify SCA 提供 的 丰富 数据 能 够 使 这 些 分 析 器 查 明 违 
背 规则 的 情况 并 将 其 分 级 ， 从 而 可 以 快速 准确 地 进行 修复 。 这 样 不 仅 可 以 提供 更 安全 的 软件 
产品 ， 还 有 助 于 使 安全 代码 的 检查 更 加 有 效 、 一 致 和 完整 ， 特 别 是 涉及 大 型 代码 库 的 情况 。 
模块 化 的 体系 结构 能 够 快速 地 上 传 新 的 、 第 三 方 的 以 及 客户 指定 的 安全 规则 。 

概括 来 讲 ， 使 用 Fortify SCA 会 涉及 以 下 操作 : 

e (可 选 操作 ) 将 Fortify SCA 集成 到 构建 过 程 中 。 

e ”针对 代码 库 执行 分 为 两 个 阶段 的 分 析 过 程 ， 最 后 产生 一 份 安全 漏洞 报告 。 

e@ (可 选 操作 ) 将 结果 传送 到 Audit Workbench 和 Fortify Team Server， 进 行 分 析 与 检查 。 
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8.1.2 ”分析 器 概述 


Fortify SCA 包含 6 个 不 同 的 分 析 器 : 数据 流 分 析 器 、 控 制 流 分 析 器 、 语 义 分 析 器 、 结 
构 分 析 器 、 配 置 分 析 器 以 及 缓冲 分 析 器 。 每 个 分 析 器 均 会 接受 不 同类 型 的 规则 ， 该 规则 经 
过 特殊 定制 ， 可 为 相应 类 型 的 分 析 提 供 必 要 的 信息 。 规 则 是 指 用 来 识别 源 代码 中 可 能 引发 


安全 漏洞 或 


他 不 安全 因素 的 各 种 元 素 的 定义 。 规 则 根据 所 适用 的 分 析 器 进行 划分 ， 于 是 


就 产生 了 针对 数据 流 分 析 器 、 控 制 流 分 析 器 、 语 义 分 析 器 、 结 构 分 析 器 、 配 置 分 析 器 以 及 
缓冲 分 析 器 的 各 种 规则 。 规 则 类 型 还 可 以 进一步 划分 ， 以 反映 问题 的 类 别 或 者 规则 所 代表 


的 信息 类 型 。 


表 8-1 列 出 并 介绍 了 每 种 Fortify 源 代码 分 析 器 。 


数据 流 


控制 流 


表 8-1_Fortify 源 代码 分 析 器 
描述 

数据 流 分 析 器 可 检测 那些 将 被 感染 数据 (用 户 控制 的 输入 ) 用 于 危险 用 途 的 潜在 漏洞 。 
数据 流 分 析 器 使 用 全 局 的 、 程 序 间 的 感染 繁殖 分 析 方 法 来 检测 source( 用 户 输入 的 站 点 ) 
与 sink (危险 的 函数 调用 或 者 操作 ) 之 间 的 数据 流 。 例如 , 数据 流 分 析 器 可 以 检测 一 个 用 
户 控制 的 特别 长 的 字符 串 输入 是 否 正在 被 复制 到 一 个 固定 长 度 的 缓冲 区 中 ， 还 可 以 检 
测 一 个 用 户 控制 的 字符 串 是 否 正 被 用 来 构建 SQL 查询 文本 
控制 流 分 析 器 可 以 检测 潜在 危险 的 操作 执行 顺序 。 通 过 分 析 程 序 中 的 控制 流 路 径 ， 控 制 
流 分 析 器 能 确定 在 执行 一 系列 操作 时 是 否 遵循 了 特定 的 顺序 。 例 如 ， 控 制 流 分 析 可 以 检 
测 check/time 的 时 间 和 未 经 初始 化 的 变量 , 并 检查 实用 程序 (如 XML 阅读 器 ) 是 否 在 使 用 
前 做 了 正确 的 配置 
语义 分 析 器 可 在 程序 内 部 这 个 层面 检测 可 能 会 引发 潜在 危险 的 函数 和 API 的 各 种 使 用 
情况 。 其 特定 的 逻辑 会 搜索 buffer overflow、formatstring 和 各 种 执行 路 径 的 问题 ， 但 并 
不 局 限于 这 几 个 类 别 。 任 何 存 在 潜在 危险 的 函数 调用 都 可 以 通过 语义 分 析 器 进行 标记 。 
例如 ， 语 义 分 析 器 可 以 检测 Java 中 的 过 时 函数 和 C/C++ 中 的 不 安全 函数 ， 如 gets0 
结构 分 析 器 可 检测 可 能 存在 危险 的 结构 缺陷 或 程序 定义 。 通 过 理解 程序 构建 的 方式 ， 结 
构 分 析 器 能 够 识别 出 安全 编程 实践 中 违反 规则 的 各 种 情况 以 及 通常 难以 被 检测 到 的 技 
术 ， 原 因 是 这 些 技术 涉及 的 范围 很 广 ， 其 中 包括 有 关 声明 和 变量 函数 的 使 用 。 例 如 ， 结 
构 分 析 器 能 检测 在 Javaservlets 中 成 员 变 量 的 赋值 ， 识 别 未 被 声明 为 static final 的 记录 器 
的 使 用 ， 并 标记 那些 由 于 被 断言 为 错误 而 永 不 被 执行 的 dead code 实例 


配置 


配置 分 析 器 可 在 应 用 程序 的 配置 文件 中 搜索 错误 、 缺 陷 和 违反 规则 的 策略 漏洞 。 例 如 ， 
配置 分 析 器 可 检查 网 络 应 用 程序 的 某 一 用 户 会 话 的 超时 是 否 合理 


缓冲 


缓冲 分 析 器 检测 缓冲 区 溢出 漏洞 ， 其 中 漏洞 涉及 写 / 读 的 数据 比 缓冲 区 可 以 保存 的 数据 更 
加 丰富 。 缓 冲 区 可 以 基于 栈 分 配 或 堆 分 配 。 组 冲 分 析 器 使 用 程 间 分 析 来 确定 是 否 有 一 个 
条 件 导致 缓冲 区 溢出 。 如 果 所 有 通 往 缓冲 区 的 执行 路 径 都 导致 缓冲 区 溢出 ，SCA 会 报告 
这 是 缓冲 区 溢出 漏洞 并 指出 导致 漏洞 的 变量 。 一 旦 有 通 往 缓冲 区 的 执行 路 径 导致 缓冲 区 
溢出 或 变量 值 导致 缓冲 区 溢出 问题 (用 户 辅助 控制 )， SCA 也 都 会 跟踪 数据 流 踪迹 报告 并 
显示 变量 是 如 何 受 破坏 
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8.2 ”软件 安装 


8.2.1 安装 组 件 概述 


Fortify SCA 安装 包含 下 列 一 个 或 多 个 组 件 : 

® Audit Workbench 

® Fortify SCA 

® FortifyTeam Server 

e Eclipse 3+ 安全 编码 插件 

e@ 用 于 Microsoft Visual Studio 2003 的 安全 编码 包 

e 用 于 Microsoft Visual Studio 2005 的 安全 编码 包 

从 Fortify SCA 5.0 开始 ，Developer、Team 和 Enterprise 版 本 不 再 包含 以 上 组 件 。 


8.2.2 下 载 软件 


Fortify SCA 软件 和 许可 证 文件 可 从 Fortify Customer Portal 下 载 。 用 户 会 收 到 包含 客户 
账户 信息 (如 用 户 名 和 密码 ) 的 确认 邮件 。 

Fortify Customer Portal 的 URL 为 https://customerportal fortify.com。 

将 软件 包 (包括 许可 证 文件 ) 下 载 到 硬盘 。 还 可 从 Fortify Customer Portal 下 载 安 全 编码 规 
则 包 ， 然 后 使 用 规则 包 更 新 工具 来 更 新 安全 编码 规则 包 。 该 选项 专 为 那些 在 安装 期 间 无 法 访 
问 Intemet 站 点 的 用 户 提 供 。 


8.2.3 安装 Fortify SCA 


1. 安装 选项 

Windows MSI 安装 程序 可 安装 以 下 任意 (及 所 有 ) 组 件 : Fortify SCA sourceanalyzer、 AuditWork 
bench、 用 于 基于 Eclipse 的 IDE 的 安全 编码 插件 ,用 于 Visual Studio 的 安全 编码 包 以 及 Fortify 
Team Server Web 应 用 程序 。 

Linux TAR 文件 可 安装 以 下 组 件 : 

® Fortify SCA 

® Sourceanalyzer 

e Fortify SCA 套件 : 

@ Sourceanalyzer 

® Audit Workbench 

e Eclipse 安全 编码 插件 


用 于 安装 Eclipse 3+ 安 全 插件 的 选项 可 安装 所 有 基于 Eclipse 的 IDE 插件 , 但 用 于 
IBM WebSphere Studio Application Developer 5 的 插件 除外 。 


® Fortify Team Server 
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e@ Team Server Web 应 用 程序 


如 果 使 用 的 Linux 平台 正在 运行 安全 增强 版 的 kemel (SELinux)， 可 能 无 法 完成 安 
装 进程 ， 除 非 禁 用 此 项 服务 。 安 装 结束 后 ， 可 重新 启用 该 服务 。 


Mac OSXDMG 文件 可 安装 以 下 组 件 : 
® Fortify SCA 
@ Sourceanalyzer 
e Fortify SCA 套件 : 
Sourceanalyzer 
® Audit Workbench 
e 用 于 基于 Eclipse 的 IDE 的 源 代码 插件 


用 于 安装 Eclipse 3+ 安全 插件 的 选项 可 安装 所 有 基于 Eclipse 的 IDE 插件 ， 但 用 
于 IBM WebSphere Studio Application Developer 5 的 插件 除外 。 


® Fortify Team Server 

e Team Server Web 应 用 程序 
Unix TAR 文件 可 安装 以 下 组 件 : 
® Fortify SCA 

® Sourceanalyzer 

® Fortify Team Server 

e@ Team Server Web 应 用 程序 


2. 在 Windows 上 安装 


在 Windows 上 ， 使 用 InstallShield 向 导 应 用 程序 来 引导 安装 。 
安装 Fortify SCA: 
1) 导航 至 包含 下 载 软件 的 目录 ， 如 图 8-1 所 示 。 


rr 


2) 对 
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上 install.exe， 如 图 8-2 所 示 。 


“pe ed 


E setup 湖 


Setup - WP Fortify SCA and 
Applications 4.10 


Welcome to the HP Fortify SCA and 
Applications 4.10 Setup Wizard. 


图 8-2 instalLexe 启动 界面 


3) 单 击 Next 并 接受 许可 证 协议 ， 如 图 8-3 所 示 。 


EE) Setup 2 人 [= 


ee [EbrRTIFY 


Please read the following License Agreement. You must accept the terms of this 
agreement before continuing with the installation- 


-Applicability. This end user license sgreerent (the < 

"Agreerent") governs the use of accompanying actcvare，unleas ic | 习 
ment becveen you and Hewlert-Packard 

“Hp”). By downloading, copying, or 

0 this Agreerent. HP provides 

nt in certain languages other than 

lenglish, which may be found ac: hecp://ww.hp.com/go/SHLicensing. 


© [Taccept the agreement 


ldo not accept the agreement 


Do you accept this license? 


[ <Back |[ Nex> |[ Cancel 


图 8-3 ”协议 许可 证 协议 界面 


4) 选择 安装 路 径 ， 如 图 8-4 所 示 。 


Se [EBRTIFY 


Please specify the directory where HP Fortify SCA and Applications 4.10 will be 
installed. 


Installation Directory [ESEOEIESESEERREDEEERES SB 


8-4 ”安装 路 径 界 面 
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5) 选择 要 安装 的 组 件 ， 如 图 8-5 所 示 。 


Select Conponents EFORTIFY’ 


Select the components you want to instalt clear the components you do not want 
to install. Click Next when you are ready to continue. 


司 ”click on a componentto geta 
detailed description 


plugins 
广 园 Eclipse 

Eclipse Remediation 
Visual Studio 2010 Comole[ 司 
[| 加 四 


ack)] eNet [Core 
图 8-5 选择 安装 组 件 
6) 选择 安装 许可 证 位 置 ， 如 图 8-6 所 示 。 

EE | 
| portigy License Location [EDRTFY- 


Please give the full path to fortifyjicense 


Full path to fortifylicense “HiFortify SCAVortifyjicense EB 


8-6 选择 许可 证 路 径 


7) 选择 Rulepack 位 置 ， 单 击 Next， 如 图 8-7 所 示 。 
[Es TO i) 


人 的 的 和 二 tt [EDRmeFY- 


Please provide the server settings for security content updates. 


Update server URL 


Proxy (Optional) 
Proxy host 


Proxy port 


ee ee 


图 8-7 选择 Rulepack 位 置 
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8) 确定 SCA 移 除 选项 ， 点 击 Next， 如 图 8-8 所 示 。 


Eseup Memo le 


SCA Migration IEPRTIFY- 


This setup can help you migrate from previous SCA installation. 


Do you want to migrate from a previous SCA installation? 
D Yes 


© No 


图 8-8 选择 SCA 移 除 


9) 准备 安装 ， 如 图 8-9 所 示 。 
Ejeet [= 1 


Rendy to Install [EDRTIFY: 


Setup is now ready to begin installing HP Fortify SCA and Applications 4.10 on 
your computer. 


Eeeck [Res ] cencel 


图 8-9 准备 安装 界面 


10) 安装 完成 ， 如 图 8-10 所 示 。 


> 
ES 二 


Completing the NP Fortify SCA and 
Applications 4.10 Setup Nizard 


Setup has finished installing HP Fortify SCA and 
Applications 4.10 on your computer. 


国 Update security content after installation? 


一 


eck 


站 


图 8-10 ”安装 完成 界面 
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11) 核实 下 载 的 Rulepacks， 如 图 8-11 所 示 。 


nfo 


Storing Updated Security Content ... 

C:\Program FilestHP Fortify\HP Fortify SCA 
v3.70\Core\configirules 

Fortify Secure Coding Rules, Core, CJC++ v2012.3.0.0008 
Fortify Secure Coding Rules, Core, Action5cript 3.0 
Y2012.3.0.0008 

Fortify Secure Coding Rules, Core, COBOL Y2012.3.0.0008 
Fortify Secure Coding Rules, Core, Java v2012,3.0.0008 
Fortify Secure Coding Rules, Core, ABAP v2012,3,0.0008 
Fortify Secure Coding Rules, Core, Python v2012.3.0.0008 
Fortify Secure Coding Rules, Core, Objective-C Y2012.3.0.0008 
Fortify Secure Coding Rules, Extended, SQL v2012,3,0.0008 
Fortify Secure Coding Rules, Extended, Configuration 
v2012,3,0,0008 

Fortify Secure Coding Rules, Extended, Java v2012.3.0.0008 
Fortify Secure Coding Rules, Core, SQL Y2012.3.0,0008 

Fortify Secure Coding Rules, Core, ColdFusion v2012.3.0.0008 
Fortify Secure Coding Rules, Extended, Content v2012,3,0.0008 
Fortify Secure Coding Rules, Core, PHP v2012,3,0,0008 

Fortify Secure Coding Rules, Extended CJC++ Y2012.3.0.0008 
Fortify Secure Coding Rules, Core, Classic ASP, YBScript, and YB6 
Y2012.3.0.0008 

Fortify Secure Coding Rules, Extended, ,NET Y2012.3.0.0008 
Fortify Secure Coding Rules, Extended, JSP v2012.3.0.0008 
Fortify Secure Coding Rules, Core, JavaScript Y2012,3.0.0008 
Fortify Secure Coding Rules, Core, Annotations v2012,3,0,0008 
Fortify Secure Coding Rules, Core, ,NET v2012,3,0.0008 
Fortify Secure Coding Rules, Core, Android v2012.3.0,0008 
Removing Old Metadata Files ,,. 

C:\Program Files\HP Fortify\HP Fortify 5CA 
v3,70\Core\config\ExternalMetadata 

Main External List Mappings v2012,3,0,0009 

Storing Updated Metadata Files ,,, 

C:\Program FilestHP Fortify\HP Fortify SCA 
v3,70\Core\config\ExternalMetadata 

Main External List Mappings v2012,3,0,0009 


12) 执行 “sourceanalyzer -v” 


下 载 Rulepacks 


答 证 安装 ， 如 图 8-12 所 示 。 


elect Command Prompt 


图 8-12 验证 


13) HP Fortify 会 自动 加 入 到 MS 或 VS 中 ， 如 图 8-13 所 示 。 


GO Start Page - Microsoft Visual Studio 


| 


户 
EE 
瘟 
号 
Fr- 
8 


| Recent Projects | Visual Studio News 
图 8-13 MS 中 的 HPFortify 插件 
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14) 安装 Eclipse， 选 择 Help/Install New Software， 如 图 8-14 所 示 。 


EE Java - Eclipse 
Fle Edt Source Refactor Navigate Search Project Run Window | Hep 


rE 守 ] 捧 "-O- 多 -| 者 -| 自己 图 weeom 


oN! 


图 8-14 选择 安装 新 软件 


15) 选择 <Fortify install>/plugins/eclipse 并 单 击 OK， 如 图 8-15 所 示 。 
到 


Name; | HP Fortify v3.70 Local... | 
Location: | fie:/C:/Program Files/HP Fortify/HP Fortify 5CA v3.7 Archive,., | 


@ CE | 
图 8-15 ”安装 插件 路 径 界 面 


16) 选择 组 件 并 单 击 Next， 如 图 8-16 所 示 。 


二 
Available Software | 
Check the items that you wish to instal, 


Work wth: [HP Fortfy v3.70- fie:/C:/Prooram Fies/HP Fortfy/HP Fortfy SCA v3.70/puors/ecipse 可 Bad.,. 
Find more software by workng with the "avalable Software Skes" preferences， 


日 WW Fortfy Edpse Plugns 
回 家 Fortfy Analysis Pugn for Ecipse 3.70.0 
回 家 Fortfy Audt Plugin for Ecipse 3.70.0 


Select Al Deselect Al 2 Rems selected 
| 
|S Show only the latest versions of avalable software 厂 bde tems that are aready installed 


Group Rems by category What is hready nstalled? 
WS Contact all update stes during install to find requred software 


(@) | cere | 


图 8-16 选择 组 件 界 面 


17) 确定 安装 组 件 并 单 击 Next， 如 图 8-17 所 示 。 
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TO oo 


Install Details 
Review the items to be installed. - 


四 
com.fortify ,plugin.analysis,feature.g,. 
comfortify.dev ide.eclpse.feature.g. 
org.ecipse.jdt.feature,group 
org.eclipse.platform,.feature.group 
org.eclipse.help .feature.group 


Fortfy Analysis Plugn For Ecipse 
SB (WB Fortify Audit Plugin for Edipse 
日 PB Edipse Java Development Tools 
日 家 Edipse Platform 
PB Edipse Help System 


最 EdipseRcP .6.24 org,edipse .rcp .feature .group 

家 Equinox pz Provisioning 有 _Y20…” org.eclipse.equinox.p2.user.Ui,featu,. 
la ====—==== .区 | 
See: Uninown 
[Detalls 


图 8-17 确定 组 件 界 面 


18) 阅读 并 接受 许可 证 ， 单 击 Next， 如 图 8-18 所 示 。 
[En 


Review Licenses 
Licenses must be reviewed and accepted before the software can be installed. 


Lcenses; License text: 


加 Eclipse Foundation Software User Agreement Eclpse Foundation Software User Agreement 有 
困 END USER LICENSE AGREEMENT April 14, 2010 
Usage Of Content 有 


THE ECLIPSE FOUNDATION MAKES AVAILABLE 
SOFTWARE, DOCUMENTATION, INFORMATION 
ANDIOR 

OTHER MATERIALS FOR OPEN SOURCE PROJECTS 


AGREEMENT ANDJOR THE TERMS AND CONDITIONS 
OF LICENSE AGREEMENTS OR 

NOTICES INDICATED OR REFERENCED BELOW, BY 
USING THE CONTENT, YOU 

AGREE THAT YOUR USE OF THE CONTENT II5 
GOVERNED BY THIS AGREEMENT 


NOTICES INDICATED OR REFERENCED 


(© 1 accept the terms of the license agreements 
Lgo not accept the terms of the icense agreement 


[mE jE 


图 8-18 阅读 接受 许可 证 界面 


19) 重启 Eclipse， 如 图 8-19 所 示 。 
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ESoftware Updates xl 


You will need to restart Eclipse for the installation changes to take effect, You 
may try to apply the changes without restarting, but this may cause errors, 


图 8-19 重启 Eclipse 


20) HP Fortify 已 被 加 入 到 Eclipse， 如 图 8-20 所 示 。 


EJava- Eclipse 


File Edt Source Refactor Navigate Search Project Run | HP Fortify Window Help 


| 无 


| F | 荔 3 本 [> 本 | :5 G Fanalyze Project 


Show Project Summary 
Audit Guide 
Project Configuration 


闻 Generate Report ,,， 
Configure Upload,.. 


Export Audit Project ,,, 
I Sove pudit project 


Open Budit Project ,, 
Merae pudit projects, 


EloadSaved pudit Project 


图 8-20 ”安装 完成 插件 


3. 在 Linux 上 进行 安装 


安装 Fortify SCA: 


1) 导航 至 包含 下 载 软件 的 目录 。 


2) 打开 一 个 shell 窗 


， 并 通过 提示 输入 以 下 命令 来 提取 文件 : 


gunzip<archive_name> .tgz 

tar -xvf <archive_name> tar 

3) 有 关 以 下 主题 的 信息 ， 请 参见 “后 续 安 装 任务 ”: 
e 从 之 前 版 本 中 迁移 属性 文件 


。 为 代理 规则 包 更 六 


服务 器 指定 连接 信息 


e 指定 一 种 非 英文 的 语言 环境 
e@ 运行 Rulepack Updater 


4. 在 Unix 上 进行 安装 


安装 Fortify SCA: 


晴 upload Audit Project 


Open colaboratve RU 
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1) 导航 至 包含 下 载 的 软件 的 目录 。 
2) 打开 一 个 shell 窗口 并 通过 输入 以 下 命令 来 提取 文件 : 


gunzip<archive_ name>.tgz 
gtar -xvf <archive name> tar 


3) 有 关 以 下 主题 的 信息 ， 请 参见 “后 续 安 装 任务 ”: 
e 从 之 前 版 本 中 迁移 属性 文件 ; 

e 为 代理 规则 包 更 新 服务 器 指定 连接 信息 ; 

e 指定 一 种 非 英 文 语言 环境 ; 

e 运行 Rulepack Updater。 

5. 在 Mac OS X 上 进行 安装 

安装 Fortify SCA: 

1) 导航 至 包含 下 载 软件 的 目录 。 

2) 双击 DMG 文件 。 

系统 会 创建 一 个 虚拟 驱动 器 ， 其 中 包含 产品 文件 夹 。 
3) 将 文件 夹 复制 并 粘贴 至 选择 的 安装 位 置 ， 如 下 例 所 示 : 


/Applications/Fortify Software/... 


4) 有 关 以 下 主题 的 信息 ， 请 参见 “后 续 安装 任务 ”: 

从 之 前 版 本 中 迁移 属性 文件 ; 

e 为 代理 规则 包 更 新 服务 器 指定 连接 信息 ; 

e 指定 一 种 非 英文 语言 环境 ; 

e 运行 Rulepack Updater。 

注意 : 要 在 Mac OS X 中 启动 Audit Workbench， 请 在 终端 窗口 中 输入 以 下 命令 : 


# cd /Applications/Fortify Software/Fortify-SCA-5.0/bin 
# ./auditworkbench 


6. 安装 Eclipse 安全 编码 插件 

安装 基于 Eclipse 的 IDE: 

1) 按照 上 述说 明 安装 Fortify SCA 套件 。 

注意 ;对 于 Windows 平台 来 说 ， 请 确保 在 安装 期 间 选 择 了 Eclipse 3.x 选项 。 

2) 打开 Eclipse。 

3) 选择 Help (帮助 ) ， 再 依次 选择 Software Updates (软件 更 新 ) 和 Manage Configuration 
Location 

(管理 配置 位 置 )。 

4) 单 击 Add an Extension Location (添加 扩展 位 置 ) 。 

5) 选择 <install directory>/plugins/eclipse。 

6) 单 击 OK (确定 )。 
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屏幕 上 将 显示 Fortify Software 安全 编码 插件 菜单 。 
8.2.4 后续 安 装 任务 


本 节 将 介绍 如 何 升级 安全 编码 规则 包 ， 如 何在 升级 之 后 迁移 属性 文件 、 指 定 不 同 的 语 
言 环境 、 为 规则 包 更 新 服务 器 指定 不 同 的 URL 以 及 为 规则 包 更 新 服务 器 指定 一 个 代理 服 


务 器 。 


升级 规则 包 在 “更 新 规则 包 ” 中 有 所 描述 。 余 下 的 任务 是 使 用 后 续 安装 工具 ， 相 关内 容 
在 “运行 后 续 安装 工具 ”中 有 所 描述 。 


1. 运行 后 续 安装 工具 : 
1) 在 命令 行 中 ， 导 航 至 bin 目录。 


2) 输入 


scapostinstall 以 启动 该 工具 。 


3) 选择 所 需 选 项 并 输入 相关 值 以 执行 以 下 任务 。 
。 迁移 属性 文件 ; 

e 指定 语言 环境 ; 

e@ 为 Rulepack Updates 指定 一 个 代理 服务 器 。 


4) 输入 s 显示 设置 ， 输入 r 返回 前 面 的 提示 ， 输 入 q 退出 该 工具 。 
2. 迁移 属性 文件 

将 早期 版 本 中 更 改过 的 属性 文件 迁移 到 当前 版 本 : 
启动 后 续 安 装 工 具 。 

1) 输入 1 以 选择 Migration。 

2) 输入 1 以 选择 SCA Migration。 

3) 输入 1 以 选择 Set previous migration directory。 


4) 输入 之 前 的 安装 目录 


5) 输入 
6) 输入 
7) 输入 


s 确认 设置 。 
2 以 执行 迁移 。 
y 进行 确认 。 


3. 指定 语言 环境 

默认 情况 下 ，Fortify Source Code Analysis 的 安装 环境 为 英文 。 
指定 一 个 不 同 的 环境 : 

1) 启动 后 续 安装 工具 。 


2) 输入 
3) 输入 
4) 输入 


2 以 选择 Settings。 
] 以 选择 General。 
1 以 选择 Locale。 


5) 输入 环境 代码 : 


。 英文 
e 日 文 
ee 韩文 


: en 
: ja 
: ko 
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e 简体 中 文 : zh_CN 
e 繁体 中 文 : zh_ TW 


4. 为 Rulepack Updates 指定 一 个 代理 服务 器 


为 rulepack update 服务 器 指定 一 个 代理 : 

1) 启动 后 续 安装 工具 。 

2) 输入 2 以 选择 Settings。 

3) 输入 2 以 选择 Rulepack Update..…。 

4) 输入 2 以 选择 Proxy Server Host。 

5) 输入 代理 服务 器 的 名 称 。 

6) 输入 3 以 选择 Proxy Server Port。 

7) 输入 代理 服务 器 的 端口 号 。 

更 新 规则 包 使 用 Rulepack Update 工具 ， 从 远程 服务 器 或 本 地 下 载 的 文件 中 更 新 规则 包 
有 关 下 载 规则 包 的 信息 ， 请 参见 “下 载 软件 ”。 

5. 更 新 规则 包 


1) 在 命令 行 中 ， 导 航 至 bin 目录 。 
2) 输入 rulepackupdate 以 启动 该 工具 。 
系统 会 响应 操作 ， 可 能 会 显示 一 个 错误 消息 ， 也 可 能 显示 一 个 已 下 载 的 规则 包 列 表 。 
注意 : 本 版 本 不 支持 从 Fortify Manager 中 下 载 规 则 包 。 
如 果 具 有 之 前 从 Fortify Customer Portal 下 载 的 规则 包 ， 请 运行 带 有 -import 的 rulepackup 
date 选项 ， 以 及 已 下 载 的 规则 包 的 目录 路 径 。 


8.2.5 ”和 拖 载 Fortify SCA 


1. 在 Windows 平台 上 进行 卸载 

要 卸载 Windows 上 的 Fortify SCA 软件 ， 请 使 用 “控制 面板 ”上 的 “Windows 添加 或 
删除 程序 ”实用 程序 。 

1) 选择 开始 一 控制 面板 一 添加 或 删除 程序 一 Fortify SCA 5.0。 

2) 在 Fortify SCA 5.0 下 ， 单 击 Delete( 删 除 ) 。 

2. 在 其 他 平台 上 进行 卸载 

在 MacOSX、Linux 和 Unix 平台 上 外 载 Fortify SCA 软件 : 

1) 备份 配置 ， 包 括 创建 的 所 有 重要 文件 。 

2) 使 用 以 下 命令 手动 删除 安装 目录 : 


Im -rf <install_directory>/FortifySCA 


第 8 章 HPFortify 工具 使 用 。309 。 


8.3 ”静态 代码 分 析 器 分 析 原 理 


8.3.1 分 析 阶 段 概述 


源 代码 分 析 过 程 包含 下 列 几 个 阶段 : 

e 构建 集成 : 第 一 阶段 包括 决定 是 否 将 SCA 集成 到 构建 编译 程序 。 

e 转换 : 通过 一 系列 命令 聚集 起 来 的 源 代码 会 被 转换 为 与 一 个 构建 ID 相关 联 的 中 间 格 
式 ， 该 构建 ID 通常 就 是 正在 扫描 的 项 目的 名 称 。 

e 分 析 : 系统 将 扫描 在 转换 阶段 识别 出 的 源 文件 ， 随 后 生成 一 个 分 析 结 果 文件 ， 该 文 
件 通常 为 Fortify 项 目 (FPR) 格 式 。FPR 文件 通过 .fpr 文件 扩展 名 来 表示 。 

e 对 转换 和 分 析 阶 段 的 验证 ， 确 保 源 文件 的 扫描 使 用 了 正确 的 规则 包 ， 而 且 没 有 报告 
重大 错误 。 


8.3.2 ”分析 命令 示例 
以 下 示例 用 来 分 析 代 码 的 命令 序列 : 


>sourceanalyzer -b <build id> -clean 

>sourceanalyzer -b <build 1d>... 

>sourceanalyzer -b <build id> -scan -fresults.fpr 

为 同时 分 析 多 个 构建 ， 添 加 额外 的 构建 作为 参数 : 

sourceanalyzer -b <build id1> -b <build id2> -b <build id3> -scan -fresults.fpr 


8.3.3 ”内存 注意 事项 


SCA 运行 时 ， 所 需 的 物理 RAM 取决 于 许多 因素 。 因 为 每 个 客户 情况 都 是 不 同 的 , 一 些 
因素 (包括 源 文件 的 大 小 和 复杂 性 )， 使 其 无 法 量化 。 如 果 你 遇 到 一 个 低 内 存 错 误 ， 增 加 SCA 
可 用 内 存 可 能 会 解决 问题 。 

默认 情况 下 ，Fortify SCA 最 多 可 使 用 600 MB 的 内 存 。 如 果 该 内 存 仍 不 能 满足 分 析 某 
个 特定 代码 库 的 需要 , 可 能 需要 在 扫描 阶段 提供 更 多 的 内 存 。 这 可 以 通过 在 sourceanalyzer 命 
令 中 使 用 -Xmx 选项 来 实现 。 例 如 ， 要 让 Fortify SCA 可 用 的 内 存 达到 1000 MB ， 可 在 命令 
中 包含 -Xmx1000M 选项 。 

注意 , 为 Fortify SCA 分 配 的 内 存 不 应 高 于 计算 机 本 身 的 可 用 内 存 , 因为 这 样 会 降低 性 能 。 
指导 原则 是 在 没有 运行 其 他 内 存 密 集 型 程序 的 情况 下 ， 为 其 分 配 的 内 存 不 能 超过 2/3 的 可 用 
物理 内 存 。 


8.4 ”静态 代码 分 析 器 分 析 过 程 


图 8-21 显示 了 分 析 过 程 。 
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Fortify Global 
Analysis 
a Fio 


Fortity 
Intermediare | - -> 
Seuctural 


FPR 


图 8-21 分 析 过 程 


静态 代码 分 析 器 分 析 过 程 是 由 分 析 器 和 规则 组 成 的 。 

1) 分 析 器 

。 包括 6 个 独立 的 分 析 器 (分 析 器 是 静态 分 析 方法 ); 

e 每 个 分 析 器 由 相应 的 规则 类 型 相互 联系 起 来 。 

2) 规则 

e 对 于 易 损 点 的 定义 ; 

e 分 析 器 有 很 多 的 规则 类 型 (每 个 规则 类 型 匹配 一 个 分 析 器 ， 并 且 有 其 独立 的 语法 ); 
。 安全 编码 规则 包 (一 系列 包含 规则 的 文件 )。 

HP Fortify SCA 包括 6 个 主要 分 析 器 ， 下 面 介绍 主要 分 析 器 的 作用 和 简单 示例 。 

1) 数据 流 主要 作用 (如 图 8-22 所 示 ): 

。 查找 漏洞 ， 其 中 不 受信 任 的 输入 可 能 会 控制 应 用 程序 的 操作 ; 

e 分 析 器 采用 全 球 漏洞 传播 技术 追踪 非 信 任 的 数据 流 。 
import java.sgl.*; 
Public class 


try { pe | 
ee Teint propagated to Eee 


2 i 
stmnt .close (); 全 1 Tainted input 1 
conn.close () I Vulnerability 1 userName used1 

I -Repotted 1 Lin.essigment.! 


catch (SQLException err) { 
err.printstackTrace (); 
} 


} 
} 


图 8-22 数据 流 示例 
2) 控制 流 主要 作用 (如 图 8-23 所 示 ): 
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Private void andLoqin Click(object sender，System-EventRras e){ 
Iabe 


1 lblMsq = null; 


一 new SqlCommpd (akEQrY, Sn 

- nd. ExecuteSscalar (); 1 

if (intRecs > 0){ Ity Reported_ | ds! 
FormsAuthentication.RedirectFromLoginPage (txtVser, false); 1 


1 assigned | 


lblMsq. Text = "Login attempt failed."; 
} 


fab lByRentiaN esd | Control Flow obscrves | 
Ye Benonis lr. StackTrace. Tostring ()) 7 L all possiblepaths | 


| Rnalyze until cnx 
Lis out of scope | 


图 8-23 ”控制 流 示例 
e 检测 操作 /函数 调用 存在 潜在 危险 的 序列 ; 


e 控制 流 分析 器 通过 源 代码 QNST 文件 ) 确 定 状态 转换 来 模拟 状态 机 ; 
。 控制 流 规则 是 状态 机 的 定义 。 


8.5 静态 代码 分 析 器 扫描 的 方式 


1) HP Fortify 扫描 向 导 

HP Fortify 扫描 向 导 是 一 个 实用 程序 ， 它 可 以 快速 轻松 地 准备 和 扫描 SCA 项 目 代码 。 扫 
描 向 导 能 够 运行 本 地 扫描 ， 如 果 正 在 使 用 HP Fortify 云 扫描 ， 在 处 理 器 密集 扫描 分 析 阶 段 ， 
云 计 算 机 可 以 相互 分 担 压力 。 

2) HP Fortify 云 扫描 

HP Fortify 云 扫描 可 以 帮助 使 用 HP Fortify 静态 代码 分 析 器 的 用 户 更 好 地 管理 资源 , 在 处 
理 器 密集 扫描 分 析 阶 段 ， 可 从 一 台 构 建 计算 机 卸载 处 理 器 ， 转 移 到 准备 好 的 云 计 算 机 上 。 

构建 机 器 上 转换 阶段 完成 后 ， 生 成 SCA 移动 建立 会 话 ， 云 扫描 将 它 转移 到 可 用 的 计算 
机 进行 扫描 。 除 了 释放 构建 的 机 器 ， 这 个 过 程 根据 需要 添加 更 多 的 资源 到 云端 ， 从 而 不 必 中 
断 构建 过 程 ， 使 它 更 容易 扩展 系统 。 

此 外 ， 软 件 安全 中 心 的 用 户 可 以 直接 使 用 云 扫描 将 FPR 文件 输出 到 服务 器 。 


8.6 静态 代码 分 析 器 转换 源 代码 


8.6.1 转换 阶段 
用 来 执行 第 一 个 分 析 阶 段 ( 即 文件 转换 ) 的 基本 命令 行 语法 是 : 
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sourceanalyzer -b <build i1d>... 


转换 阶段 包含 一 次 或 多 次 使 用 sourceanalyzer 命令 调用 Fortify SCA 的 过 程 。 构 建 ID(b 
<build-id>) 用 于 将 这 些 调用 过 程 绑 定 到 一 起 。 

随后 调用 sourceanalyzer 时 会 将 任何 新 指定 的 源 文件 或 配置 文件 添加 到 与 构建 ID 相关 
联 的 文件 列表 中 。 转 换 结束 时 ， 可 使 用 -show-build-wamings 指令 列 出 在 转换 过 程 中 直到 的 所 
有 警告 和 错误 : 


sourceanalyzer -b <build id> -show-build-wamings 
要 查看 与 某 个 特定 构建 ID 相关 联 的 所 有 文件 ， 可 使 用 -show-files 指令 : 
sourceanalyzer -b <build 1d> -show-files 


下 面 将 介绍 如 何 转换 不 同类 型 的 源 代码 : 
转换 Java 源 代码 
转换 NET 源 代码 
转换 .C 和 C++ 代码 
转换 ABAP/4 
转换 FLEX 
转换 移动 平台 代码 
转换 其 他 语言 ， 如 ColdFusion、Classic ASP 以 及 JavaScript 

1) SCA 移动 建立 会 话 (可 选 ) 

SCA 移动 建立 会 话 允许 一 个 项 目 在 一 台 计 算 机 上 翻译 并 在 另 一 台 计 算 机 上 进行 分 析 。 当 
创建 一 个 SCA 移动 建立 会 话 时 ， 生 成 一 个 mbs 包括 会 话 目 录 中 分 析 阶 段 所 需 文件 。 然 后 
将 .mbs 文件 被 转换 到 不 同 机 器 上 进行 分 析 。 

2) 如 何 创建 SCA 移动 建立 会 话 

在 转 义 完成 的 那 台 计算 机 上 ， 发 出 以 下 命令 来 生成 一 个 SCA 移动 建立 会 话 : 


sourceanalyzer -b <build_ id> -export-build-session <file .mbs> 


其 中 <file mbs> 是 分 配给 SCA 移动 建立 会 话 的 文件 名 。 
3) 如 何 引 入 SCA 移动 建立 会 话 
一 旦 把 .mbs 文件 移动 到 你 想 运 行 分 析 的 机 器 上 ， 发 出 以 下 命令 : 


sourceanalyzer -import-build-session <file.mbs> 


其 中 <file mbs> 是 SCA 移动 建立 会 话 名 称 。 

一 旦 你 已 经 导入 SCA 移动 建立 会 话 ， 你 就 准备 继续 进行 分 析 阶 段 。 

4) 分 析 阶 段 

本 主题 将 介绍 分 析 阶 段 所 用 的 语法 : 扫描 在 转换 过 程 中 创建 的 中 间 文 件 并 创建 分 析 结 果 
文件 。 分 析 阶 段 包含 对 源 分 析 器 的 一 次 调用 ， 需 要 指定 构建 ID， 并 包含 -scan 指令 以 及 任 
何必 要 的 分 析 或 输出 选项 。 
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注意 : 默认 情况 下 ， Fortify SCA 会 包含 FPR 中 的 源 代 码 。 

分 析 阶段 所 用 的 基本 命令 行 语法 为 : 

sourceanalyzer -b <bulld id> -scan -fresults.fpr 

为 一 次 运行 分 析 多 个 构建 ， 添 加 额外 的 构建 命令 行 : 

sourceanalyzer - b <bulld 1d1> -b <build 1d2> -b <build 1d3> -scan -f results.fpr 

为 一 次 运行 分 析 多 个 无 记录 构建 ， 添 加 额外 的 构建 命令 行 : 

sourceanalyzer -b <build-id1> -b <build-id2> -b <build-id3> -auth-silent -scan -f results.fpr 

5) 对 转换 和 分 析 阶 段 的 验证 

Audit Workbench 的 “结果 认证 ”功能 可 用 于 检验 分 析 是 否 完成 。“ 结 果 认证 ”可 显示 关 
于 FortifySCA 扫描 过 的 代码 的 具体 信息 ， 包 括 : 

。 扫描 的 文件 列表 ， 包 括 文件 大 小 和 时 间 鹤 ; 

e 用 于 转换 的 Java 类 路 径 ; 

e 分 析 使 用 的 规则 包 列 表 ; 

e Fortify SCA 运行 时 设置 和 命令 行 参数 的 列表 ; 

e 在 转换 和 分 析 过 程 中 直到 的 问题 或 者 警告 的 列表 ; 

e 机 器 /平台 信息 。 


8.6.2 ”转换 Java 源 代码 


1. Java 命令 行 语法 

基本 的 Java 命令 行 语法 是 : 

sourceanalyzer -b <build id> -cp <classpath><file_list> 

对 于 Java 代码 , Fortify SCA 既 可 模拟 编译 器 (这 可 能 有 利于 进行 构建 集成 ), 也 可 直接 接 
受 源 文件 (这 有 利于 进行 命令 行 扫描 )。 

要 让 Fortify SCA 模拟 编译 器 ， 请 输入 : 

sourceanalyzer -b <build id> javac [<compiler options>] 

要 直接 向 Fortify SCA 传 文件 ， 请 输入 : 


sourceanalyzer -b <build id> -cp <classpath> [<compiler options>] \ 
<files>|<file specifiers> 


其 中 : 

<compiler options> 是 传 到 编译 器 的 选项 。 

-cp <classpath> 指 定 用 于 Java 源 代码 的 类 路 径 . 类 路 径 是 一 个 构建 目录 和 jar 文件 的 列表 。 
格式 与 javac 正常 使 用 的 格式 相同 (使 用 冒号 或 分 号 分 隔 的 路 径 列 表 )。 可 使 用 Fortify SCA 文 
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件 说 明 符 。 
-cp "build/classes:lib/*.jar" 
注意 : 如 果 未 使 用 此 选项 指定 类 路 径 ， 系 统 将 使 用 CLASSPATH 环境 变量 。 
2. Java 命令 行 示例 


要 在 类 路 径 上 使 用 j2eejar 转换 单个 名 为 MyServletjava 的 文件 ， 请 输入 : 


sourceanalyzer -b MyServlet -cp lib/j2ee.jar MyServletjava 
要 使 用 lb 目录 中 的 所 有 jar 文件 作为 类 路 径 来 转换 sre 目录 中 的 所 有 .java 文件 ,请 输入 : 


sourceanalyzer -b MyProject -cp "lib/*.jar" "src/**/*.Jjava" 


要 在 运行 javac 编译 器 的 同时 转换 MyCodejava 文件 ， 请 输入 : 


sourceanalyzer -b mybuild javac -classpath libs.jar MyCode.java 


3. 使 用 Fortify Ant Compiler Adapter 与 Ant 集成 


Fortify SCA 提供 了 一 个 Ant Compiler Adapter， 如 果 项 目 使 用 Ant 构建 文件 ， 则 可 以 
用 它 轻松 转换 Java 源 文件 。 这 种 集成 只 需要 设置 两 个 Ant 属性 ， 并且 不 必修 改 Ant build.xml 
文件 ， 通 过 命令 行 即 可 完成 。 执 行 构建 时 ，Fortify SCA 会 拦截 所 有 的 javac 任务 调用 ， 并 
在 Java 源 文件 编译 完成 后 对 其 进行 转换 。 
请 注意 , 任何 JSP 文件 、 配 置 文件 或 应 用 程序 中 包含 的 其 他 非 Java 源 文件 都 需要 在 一 个 
单独 的 步骤 中 进行 转换 。 

要 使 用 Compiler Adapter， 需 执行 以 下 步骤 : 

esourceanalyzer 可 执行 文件 必须 在 系统 PATH 上 ; 

e@ sourceanalyzerjar (位 于 Core/lib 中 ) 必 须 在 Ant 的 类 路 径 上 ; 

ee build.compiler 属性 必须 设置 为 com fortify.dev.ant.SCACompiler; 

”sourceanalyzer.buildid 属性 必须 设置 为 构建 ID。 

以 下 示例 演示 了 如 何在 不 修改 构建 文件 的 情况 下 使 用 Compiler Adapter 运行 Ant 构建 : 


ant -Dbuild.compiler=com fortify.dev.ant.SCACompiler \ 

-Dsourceanalyzer.buildid=MyBuild \ 

-hb <install_dir>/Core/lib/sourceanalyzer.jar 

-lib 选项 只 适用 于 Ant 1.6 或 更 高 版 本 。 在 较 低 版 本 中 ， 必 须 设 置 CLASSPATH 环境 变 
量 ， 或 将 sourceanalyzerjar 复制 到 Ant 的 lib 目录 下 。 

在 Ant 1.6 或 更 高 版 本 中 ， 也 可 以 使 用 以 下 简单 命令 通过 Compiler Adapter 来 运行 Ant: 


sourceanalyzer -b <build-id> ant [ant-options] 


默认 情况 下 ， 系 统 会 为 Fortify SCA 分 配 600 MB 的 内 存 用 于 转换 。 使 用 Ant Compiler 


第 8 章 HPFortify 工具 使 用 “315。 


Adapter 时 ， 可 以 用 -DsourceanalyzermaxHeap 选项 来 增加 内 存 分 配 ， 如 下 所 示 : 


ant -Dbuild.compiler=com fortify.dev.ant.SCACompiler 
-Dsourceanalyzer.buildid=MyBuild 

-hb <install_directory>/Core/lib/sourceanalyzer.jar 
-Dsourceanalyzer.maxHeap=1000M 


4. 处 理 决议 警告 
在 构建 时 为 了 看 到 所 有 生成 的 警告 ， 在 扫描 之 前 输入 以 下 命令 : 


sourceanalyzer -b <build 1d> -show-build-wamings 


5. Java 警告 


可 看 到 下 面 Java 的 警告 ; 

Unable to resolve type... 

Unable to resolve function... 

Unable to resolve field... 

Unable to locate import... 

Unable to resolve symbol... 

Multiple definitions found for function... 
Multiple definitions found for class... 


这 些 敬 告 通常 是 由 于 缺少 资源 。 例 如 ， 一 些 构 建 应 用 程序 所 需 的 jar 和 类 文件 没有 指定 。 
为 解决 警告 ， 请 确保 包括 应 用 程序 将 用 到 的 所 有 必需 文件 已 正确 配置 。 

6. 使 用 FindBugs 

FindBugs (http://findbugs.sourceforge.net) 是 一 个 检测 Java 代码 质量 问题 的 静态 分 析 工具 。 
可 将 Findbugs 与 Fortify SCA 一 起 使 用 ， 其 结果 会 被 合并 到 分 析 结果 文件 中 。Findbugs 与 
Fortify SCA 的 不 同 之 处 在 于 ， 后 者 基于 Java 源 文件 运行 ， 而 前 者 基于 Java 字 节 码 运 行 。 因 
此 ， 运 行 项 目 分 析 之 前 ， 应 该 首先 编译 项 目 并 生成 类 文件 。 

为 演示 如 何 自动 运行 FindBugs 与 Fortify SCA， 编译 代码 示例 Wamingjava， 如 下 所 示 : 

1) 切换 到 以 下 目录 : 

<install_directory>/Samples/advanced/findbugs 

2) 输入 以 下 命令 并 编译 示例 : 


mkdir build 


Javac -d build Waming.Java 


3) 用 FindBugs 和 Fortify SCA 扫描 该 示例 ， 如 下 所 示 : 


sourceanalyzer -b findbugs_sample -java-build-dir build Waming.Jjava 
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sourceanalyzer -b findbugs_sample -scan -findbugs -f 
findbugs_sample.fpr 


4) 在 Audit Workbench 中 检查 分 析 结 果 : 
auditworkbench findbugs_sample.fpr 


输出 包括 以 下 问题 类 别 : 

® Bad casts ofObject References 

® Dead local store 

Equal objects must have equal hashcodes 
Object model violation 

Unwnitten field 


® Useless self-assignment 
如 果 按 分 析 器 分 组 , 可 以 看 到 Fortify SCA 结构 分 析 器 产生 一 条 警告 , 而 FindBugs 产生 


8 条 。 由 Fortify SCA 产生 的 Object model violation 敬告 与 由 FindBugs 产生 的 Equalobjects 
must have equal hash codes 警告 相似 。 此 外 ，FindBugs 还 会 产生 关于 相同 问题 的 两 组 警告 
(Useless self-assignment 和 Dead local store)。 为 避免 结果 重合 , 需 通 过 在 扫描 过 程 中 使 用 -filter 
选项 来 应 用 filter.txt 过 滤 文 件 。 注 意 ， 过 滤 并 不 十 分 精确 ， 因 为 每 个 工具 在 不 同 的 粒度 级 别 
上 进行 过 滤 。 为 演示 如 何 避 免 结果 重合 ， 使 用 filter.txt 扫描 示例 代码 ， 如 下 所 示 : 


sourceanalyzer -b findbugs_sample -scan -findbugs -filter filter.txt 
-ffindbugs_sample.fpr 


7. 转换 J2EE 应 用 程序 
转换 JEE 应 用 程序 需要 对 Java 源 文件 ,J2EE 组 件 (如 JSP 文件 )、 部 署 描述 符 ( 如 web.xml) 


以 及 配置 文件 (如 struts-config.xml) 进 行 分 析 。 


具体 步骤 包括 : 

1) 转换 Java 文件 。 

请 参考 本 章 前 面 提 到 的 示例 (Java 命令 行使 用 示例 )。 
2) 转换 JSP 文 件 。 

3) 处 理 配置 文件 。 

示例 : 

sourceanalyzer -b my_buildid "mydirectory/myfile.xml" 
8. 转换 JSP 文件 


要 转换 JSP 文件 ，Fortify SCA 要 求 JSP 文件 采用 标准 的 Web Application Archive (WAR) 


布局 ,如 果 源 目录 已 经 采用 WAR 布局 进行 组 织 , 那么 可 以 直接 从 源 目录 中 转换 JSP 文件 。 
如 果 不 是 这 种 情况 ， 那 么 需要 部 署 应 用 程序 并 从 部 署 目录 中 转换 JSP 文件。 


目 


如 果 JSP 文 件 使 用 了 任何 标签 库 "例如 JSTL" 请 确保 这 些 库 的 jar 文 件 位 于 WEB-INFlib 


Ud 


录 中 。 否 则 JSP 编译 器 将 不 处 理 标签 库 ， 并 可 能 产生 错误 结果 。 


默认 情况 下 ，Fortify SCA 在 转换 阶段 会 使 用 某 个 版 本 的 Jasper JSP 编译 器 将 JSP 文件 编 
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译 为 Java 文件 。 然 而 ， 如 果 Web 应 用 程序 是 专门 针对 某 个 应 用 程序 服务 器 而 开发 的 ， 那 么 
在 执行 转换 时 必须 使 用 该 应 用 服务 器 的 JSP 编译 器 。 

为 了 支持 此 操作 ，Fortify SCA 提供 了 以 下 命令 行 选 项 

e@ -appserver 支持 的 值 : weblogic/websphere 

® -appserver-home 

对 于 Weblogic， 包 含 server/lib 子 目 录 的 目录 路 径 

对 于 WebSphere， 包 含 bin/JspBatchCompiler 脚本 的 目录 路 径 

e ”-appserver-version 支持 的 值 : 

Weblogic 版 本 7、8、9 和 10 

WebSphere 版 本 6 

如 果 使 用 的 应 用 程序 服务 器 不 属于 这 两 种 ， 请 使 用 默认 的 内 部 Fortify JSP 编译 器 。 

例如 : 

在 Ant 1.6 或 更 高 版 本 中 ， 也 可 以 使 用 以 下 简单 命令 通过 Compiler Adapter 来 运行 Ant: 

sourceanalyzer -b <build-id> ant [ant-options] 

默认 情况 下 ， 系 统 会 为 Fortify SCA 分 配 600MB 的 内 存 用 于 转换 。 使 用 Ant Compiler 
Adapter 时 ， 可 以 用 -Dsourceanalyzer.maxHeap 选项 来 增加 内 存 分配 ， 如 下 所 示 : 

ant -Dbuild.compiler=com fortify.dev.ant.SCACompiler 

-Dsourceanalyzer.buildid=MyBuild 

-lib <install directory>/Core/lib/sourceanalyzer.jar 

-Dsourceanalyzer.maxHeap=1000M 


8.6.3 ”转换 .NET 源 代码 


本 节 将 描述 如 何 使 用 Fortify SCA 转换 由 以 下 程序 构建 的 Microsoft Visual Studio NET 
和 ASPNET 应 用 程序 : 

e NET 版 本 1.1 和 2.0 

@ Visual Studio NET 版 本 2003 

e@ Visual Studio NET 版 本 2005 

Fortify SCA 基于 Microsoft 中 间 语 言 (MSID) 运 行 ， 因 此 支持 所 有 编译 成 MSI 的 .NET 
语言 ,包括 C# 和 VB NET。 

包括 以 下 主题 : 

® Visual Studio NET 

e 转换 简单 的 NET 应 用 程序 

e 转换 ASP.NET 1.1 (Visual Studio 版 本 2003) 项 目 

注意 : 分 析 .NET 应 用 程序 最 简单 的 方法 是 ， 使 用 适用 于 Visual Studio 的 Fortify Secure 
CodingPlug-in， 可 自动 收集 有 关 项 目的 信息 。 


1. Visual Studio .NET 


如 果 使 用 Visual Studio NET 执行 构建 命令 行 , 可 通过 调用 sourceanalyzer 来 封装 构建 命 
令 行 ， 从 而 轻松 地 集成 源 代码 分 析 。 为 此 ， 具 有 的 安全 编码 规则 包 必 须 适用 于 当前 所 安装 的 
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VisualStudio 版 本 。 

以 下 示例 显示 了 适用 于 Visual Studio NET 的 命令 行 语法 : 

sourceanalyzer -b my_buildid Samplel .sln /REBUILD debug 

它 在 Visual Studio 构建 的 所 有 文件 中 执行 转换 阶段 。 务必 进行 清除 或 重新 构建 ,确保 将 
所 有 文件 都 包含 在 内 。 然 后 就 可 以 执行 分 析 阶 段 了 ， 如 下 所 示 : 

sourceanalyzer -b my_buildid -scan -fresults.fpr 


2. 转换 简单 的 .NET 应 用 程序 
用 户 可 使 用 Fortify SCA 命令 行 界面 来 处 理 NET 应 用 程序 。 


使 用 以 下 方法 之 一 为 应 用 程序 的 分 析 工 作 做 准备 : 


e 在 启 上 


可 提供 Fortify SCA 显示 结果 所 需 的 信息 。 


“调试 ”配置 的 情况 下 执行 完整 的 项 目 重建 。 在 启用 调试 的 情况 下 编译 项 目 


e 获取 与 项 目 有 关 的 所 有 第 三 方 .dl 文件 、 项 目 输出 .dl 文件 和 相应 的 .pbd 文件 。 注意 ， 


如 果 局 


一 文件 夹 中 不 存在 相应 的 .pdb 文件 , Fortify SCA 就 会 忽略 任何 作为 输入 变量 


传送 的 .dl 文件 。 因 此 ， 必 须 包含 与 所 有 项 目 .dl 文件 对 应 的 所 有 :pdb 文件 。 
注意 ，.pdb 文件 在 第 三 方 库 中 并 不 是 必要 的 。 
从 命令 行 运行 Fortify SCA 来 分 析 NET 应 用 程序 ， 如 下 所 示 : 
e 对 于 Visual Studio NET 版 本 2003， 输 入 : 
sourceanalyzer -vsversion 7.1 -b MyBuild 
-libdirs ProjOne/Lib:ProjTwo/Lib ProjOne/bin/Debug ProjTwo/bin/Debug 


其 中 : 


MyBuild 是 构建 标识 符 ; 

ProjOne/Lib:ProjTwo/Lib 是 用 分 号 分 隔 的 文件 或 DLL (包含 第 三 方 DLL) 路 径 列 表 ; 
ProjOne/bin/Debug ProjTwo/bin/Debug 是 输出 文件 夹 ; 

对 于 Visual Studio .NET 版 本 2005， 输 入 : 

sourceanalyzer -vsversion 8.0 -b MyBuild 

-libdirs ProjOne/Lib:ProjTwo/Lib ProjOne/bin/Debug ProjTwo/bin/Debug 


其 中 : 


MyBuild 是 构建 标识 符 ; 

ProjOne/Lib;ProjTwo/Lib 是 用 分 号 分 隔 的 文件 或 DLL (包含 第 三 方 DLL) 路 径 列表 ; 
ProjOne/bin/Debug ProjTwo/bin/Debug 是 输出 文件 夹 ; 

注意 : Fortify SCA 会 自动 获取 项 目 中 所 用 的 标准 .NET DLL 文件 ， 因 此 命令 行 中 不 必 包 


含 这 些 文件 。 


如 果 项 目 很 大 , 可 以 使 用 相同 的 构建 D 对 每 个 输出 文件 夹 分 别 执行 转换 阶段 ， 如 下 所 示 : 
sourceanalyzer -vsversion <version number> -b <build 1d> 
-libdirs <paths><folder 1> 


sourceanalyzer -vsversion <version number> -b <build 1d> 
-libdirs <paths><folder n> 
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其 中 ， 

<version number> 既 可 以 是 7.1 也 可 以 是 8.0; 

<build id> 是 构建 ID; 

<paths> 是 带 有 第 三 方 DLL 文件 的 文件 夹 或 DLL 文件 路 径 的 列表 ， 列 表 中 的 各 项 内 容 


以 分 号 分 隔 ，<folder 1> 和 <folder_n> 是 输出 文件 夹 ; 


注意 : Fortify SCA 需要 配合 正确 的 Visual Studio 版 本 ， 即 使 使 用 的 是 命令 行 界面 。 
3. 转换 ASP.NET 1.1 (Visual Studio 版 本 2003) 项 目 


如 上 所 述 ，Fortify SCA 基于 .NET 编译 器 所 生成 的 MSIL 运行 。 对 于 ASPNET 项 目 ， 


Web 组 件 (如 .aspx 文件 ) 需 要 先 编译 然后 再 分 析 。 然 而 ， 目 前 没有 针对 .aspx 文档 的 标准 编译 器 ， 


3 


从 浏览 器 中 打开 它们 时 ，.NET 1.1 运行 时 会 自动 对 其 进行 编译 。 


为 辅助 .aspx 编译 阶段 , Fortify Software 提供 了 一 个 简易 工具 , 用 于 编译 项 目 中 的 所 有 .aspx 


文件 。 该 工具 在 Fortify 安装 目录 中 的 位 置 是 : 


\Tools\fortify aspnet compiler\fortify aspnet compiler.exe 

分 析 ASPNET 1.1 解决 方案 : 

1) 对 解决 方案 执行 完整 的 重新 构建 。 

2) 对 于 解决 方案 中 的 每 个 Web 项 目 ， 删 除 以 下 文件 夹 : 
%SYSTEMROOT%\Microsoft NET\Framework\v1.1.4322\Temporary 


ASP.NETFiles\<web application name> 


3) 对 于 解决 方案 中 的 每 个 Web 项 目 ， 运 行 以 下 命令 : 

fortify aspnet compiler <url to the web site> 

<source_root of the web project> 

其 中 : 

<url to the web site> 指 网 站 的 URL， 例 如 : 

http://localhost/ WebApp 

<source_root_of the_web_project> 指 Web 项 目的 源 位 置 ， 例 如 : 

<VS _project location>\WebApp 

4) 为 在 步骤 1 中 构建 的 DLL 执行 转换 阶段 键入 以 下 命令 , 其 中 使 用 的 构建 了 D 与 以 


下 步骤 中 的 相同 : 


sourceanalyzer -b <build id>"<VS _project_location>\**\*.dll" 
5) 对 Web 组 件 执行 转换 阶段 .对 于 解决 方案 中 的 每 个 Web 项 目 ,请 在 调用 sourceanalyzer 


时 输入 以 下 命令 : 


sourceanalyzer -b <build 1d> 

%SYSTEMROOT%\Microsoft. NET\Framework\v1.1.4322\Temporary 
ASP.NETFiles<web_application name> 

6) 包含 配置 文件 和 现 有 的 任何 Microsoft T-SQL 源 文件 : 

sourceanalyzer -b <build_id>"<solution root>\**\*.config" 

<"t-sq] src>\**\*.sq]l"> 

注意 : 如 果 使 用 的 是 Microsoft Visual Studio 安全 编码 包 ， 那 么 这 些 步骤 都 将 自动 执行 。 
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本 章 将 介绍 如 何 使 用 Fortify SCA 来 转换 C 和 C++ 源 代码 以 进行 分 析 。 


1.C 和 C++ 命令 行 语法 


其 中 : 


转换 一 个 文件 所 用 的 基本 命令 行 语法 是 : 
sourceanalyzer -b <build ljd><compiler> [<compiler options>] 


e <compiler> 是 在 项 目的 构建 扫描 过 程 中 使 用 到 的 编译 器 名 称 ， 如 gce 或 dl。 
e <compiler options> 是 传送 到 编译 器 通常 用 于 编译 文件 的 选项 。 


2. C 和 C++ 命令 行 示例 
以 下 是 一 个 简单 用 法 示例 : 


要 使 用 gcc 编译 器 转换 一 个 名 为 helloworld.c 的 文件 ， 请 输入 : 
sourceanalyzer -b my_buildid gcc helloworld.c 
注意 : 这 个 过 程 中 会 编译 文件 。 


3. 与 Make 集成 


可 以 使 用 以 下 任 一 方法 配合 使 用 Make 和 Fortify SCA: 
e ”使 用 Fortify Touchless Build Adapter 
e 修改 Makefile 以 调用 Fortify SCA 


4. 使 用 Fortify Touchless Build Adapter 


使 用 Fortify Touchless Build Adapter 来 集成 makefiles， 请 运行 以 下 命令 : 

sourceanalyzer -b <build id> touchless make 

Fortify SCA 会 运行 make 命令 。 当 make 调用 了 任意 被 Fortify SCA 认为 是 编译 器 的 命 
令 时 ，Fortify SCA 就 会 处 理 该 命令 。 注 意 ，makefile 不 会 被 修改 。 

这 种 构建 集成 的 方法 并 不 局 限于 make。 任 何 执行 编译 器 处 理 的 构建 命令 都 适用 于 该 系 
统 ， 只 要 将 用 于 运行 构建 的 命令 奉 代 上 述 命令 中 的 make' 部 分 即 可 。 

注意 : 如 果 存 在 以 下 情况 ，Fortify touchless build adapter 会 表现 异常 : 


。 构建 脚本 采用 绝对 路 径 调 


编译 器 ， 或 者 构建 脚本 重 写 了 可 执行 的 搜索 路 径 ; 


。 构建 脚本 未 创建 新 的 进程 来 运行 编译 器 .许多 Java 构建 工具 (包括 Anb 都 以 这 种 方式 


运行 。 


5. 修改 Makefile 以 调用 Fortify SCA 


要 修改 makefile 以 调用 Fortify 


SCA， 请 将 makefile 中 对 编译 器 、 存 档 文件 或 链接 的 调用 


替换 为 对 Fortify SCA 的 调用 。 这 些 工具 通常 在 makefile 的 一 个 特殊 变量 中 指定 ， 如 下 所 示 : 


CC=gcc 
CXX=gt++ 
AR=ar 
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该 步骤 可 简化 为 在 makefile 中 与 Fortify SCA 一 起 预先 计划 对 这 些 工 具 的 引用 以 及 相应 


的 选项 ; 

CC=sourceanalyzer -b mybuild -c gcc 

CXX=sourceanalyzer -b mybuild -c g++ 

AR=sourceanalyzer -b mybuild -c ar 

6. 使 用 Fortify Build Monitor 

本 节 将 介绍 在 Windows 系统 上 进行 构建 的 过 程 中 ,如 何 使 用 Fortify Build Monitor 自动 
扫描 C/C++ 项 目 并 查看 结果 。 其 中 示例 使 用 的 是 Fortify SCA 随 附 的 项 目 范例 。 

Fortify Build Monitor 概述 

Fortify Build Monitor 菜单 包含 表 8-2 所 示 的 选项 。 


表 8-2 ”Fortify Build Monitor 的 选项 
选 项 描述 
Monitor (监视 器 ) 启动 监视 。Build Monitor 会 拦截 并 转换 计算 机 上 的 下 一 个 构建 
Build Done (构建 完成 ) 在 构建 完成 后 停止 监视 
Scan (扫描 ) 扫描 在 构建 过 程 中 监视 的 代码 
Scan Settings (扫描 设置 ) 控制 规则 包 和 内 存 设 置 


Set Results Folder (设置 结果 文件 夹 ) 
Stay on Top (始终 在 上 面 ) 

Minimize to Tray (最 小 化 到 任务 栏 中 ) 
Exit (退出 ) 


Show Messages (显示 消息 ) 


Help (帮助 ) 
Reset ( 重 置 ) 


配置 Fortify Build Monitor 
1) 设置 结果 文件 夹 


控制 Fortify SCA 输出 结果 的 位 置 

使 Fortify Build Monitor 窗口 始终 位 于 其 他 窗口 之 上 

将 Fortify Build Monitor 显示 为 任务 栏 中 的 一 个 图 标 

关闭 Fortify Build Monitor 

在 窗口 下 方 区 域 显示 或 隐藏 消息 。 具 体 的 消息 包括 扫描 消息 、 
错误 消息 和 Monitor Driver 信息 。 可 以 单 击 窗口 底部 的 Detailed 
Messages (详细 消息 ) 

显示 联机 帮助 

将 Fortify Build Monitor 重 置 为 初始 状态 


Fortify Build Monitor 将 结果 以 FPR 格式 输出 到 一 个 本 地 文件 夹 中 。 可 以 更 改 输出 文件 
夹 。FortifyBuild Monitor 在 每 次 执行 扫描 后 会 覆盖 结果 。 这 些 结果 不 会 存档 。 


更 改 结果 文件 夹 的 步骤 : 


a) 选择 Action (操作 )， 再 选择 Set Results Folder (设置 结果 文件 夹 )。 
屏幕 上 将 显示 Browse for Folder (浏览 文件 夹 ) 对 话 框 。 

b) 选择 一 个 文件 夹 ， 然 后 单 击 OK (确定 )。 

Fortify Build Monitor 将 结果 输出 到 选 定 的 文件 夹 中 。 


2) 设置 Fortify SCA 扫描 选项 


Fortify Build Monitor 使 用 Fortify SCA 扫描 项 目 。 可 以 调整 以 下 扫描 设置 : 
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e Allocate memory (分 配 内 存 ): 增加 或 减少 分 配给 Fortify SCA 的 内 存 ; 
e@ Secure coding rulepacks and custom rulepacks (安全 编码 规则 包 和 自 定义 规则 包 ): 更 改 
FortifySCA 用 来 分 析 源 代码 的 规则 包 ; 

e User (用 户 ): 仅 监视 由 当前 用 户 执行 的 构建 。 

更 改 扫 描 选 项 的 步骤 : 

a) 选择 Action( 操 作 )， 再 选择 Scan Settings (扫描 设置 )。 

屏幕 上 将 显示 Fortify Build Monitor Scan Settings (Fortify Build Monitor: 扫描 设置 ) 对 话 框 。 

b) 要 更 改 内 存 分 配 ， 请 选择 一 个 值 。 

注意 : 如 果 输入 的 选项 无 效 ， 则 会 把 内 存 设 置 为 无 限 大 。 

c) 要 添加 或 删除 规则 包 ， 请 单 击 Rulepacks (规则 包 )。 

dd) 要 查看 Fortify SCA 命令 行 选项 ， 请 单 击 Preview (预览 )。 

e) 单 击 Done (完成 )。 

Fortify SCA 扫描 选项 完成 更 改 。 

监视 构建 

对 于 Windows 平台 上 的 C/C++ 项 目 和 解决 方案 ,Fortify SCA 包含 Fortify Build Monitor， 
该 工具 包含 图 形 化 用 户 界面 ， 可 在 构建 过 程 中 自动 执行 分 析 。 

在 Windows 平台 上 分 析 C/C++ 源 代码 构建 的 步骤 : 

a) 选择 “开始 ”， 然 后 依次 选择 “所 有 程序 ”和 Fortify Software-Fortify SCA - Build 
Monitor。 

b) 单 击 Monitor (监视 器 )。 

当 监 视 器 启动 后 ， 会 显示 一 个 绿色 指示 灯 图 标 。 

c) 在 构建 环境 中 创建 完整 的 项 目 构建 。 

qd) 检查 是 否 已 成 功 完成 构建 。 

e) 返回 Fortify Build Monitor 窗口 ， 然 后 单 击 Build Done (构建 完成 )。 

f) Fortify SCA 会 将 结果 输出 到 一 个 子 文件 夹 中 , 请 为 该 输出 文件 夹 指定 名 称 。 如 果 该 文 
件 夹 已 经 存在 ， 则 Fortify SCA 会 在 开始 扫描 之 前 清理 该 文件 夹 。 

g) 单 击 Scan (扫描 )。 

Fortify SCA 会 显示 结果 并 将 其 存储 在 指定 文件 夹 下 的 一 个 FPR 文件 中 。 

注意 ， 要 查看 结果 ， 可 在 Audit Workbench 平台 或 者 使 用 Microsoft Visual Studio 安全 编 
码 包 打开 该 FPR 文件 。 

监视 项 目的 示例 

此 示例 是 Windows 用 户 对 名 为 qwik-smtpd 的 C++ 代码 项 目 示例 进行 分 析 。 此 示例 使 用 
了 Microsoft Visual Studio 和 Fortify Build Monitor。 

分 析 qwik-smtpd 项 目 : 

a) 使 用 Microsoft Visual Smdio， 打 开 并 构建 Tutorials/C/source 目录 下 的 qwik-smtpd 项 目 。 

b) 选择 “开始 ”， 然 后 依次 选择 “所 有 程序 ”和 Fortify Software - Fortify SCA - Build 
Monitor。 

c) 单 击 Monitor (监视 器 )。 

d) 将 该 窗口 最 小 化 。 
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e) 在 Microsoft Visual Studio 中 ， 重 新 构建 该 项 目 。 

注意 , 由 于 项 目 中 没有 发 生 任 何 变化 ， 因 此 必须 使 用 重新 构建 选项 。 

f) 检查 是 否 已 成 功 完成 构建 。 

g) 返回 Fortify Build Monitor 窗口 ， 然 后 单 击 Build Done (构建 完成 )。 

h) 指定 构建 输出 的 位 置 。 

i) 单 击 Scan (扫描 )。 

Fortify SCA 会 在 指定 的 文件 夹 下 保存 一 个 FPR 文件 。 

注意 , 要 查看 结果 , 请 在 Audit Workbench 平台 或 者 使 用 Microsoft Visual Studio 安全 编 
人 码 包 打开 该 FPR 文件 。 


7. Visual Studio .NET 


如 果 使 用 Visual Studio .NET 来 执行 命令 行 构建 ， 只 要 通过 封装 构建 命令 行 并 调用 
sourceanalyzer， 即 可 轻松 集成 source code analysis。 为 此 ， 必 须 在 Visual Studio 版 本 中 安装 
一 个 Fortify 安全 编码 插件 。 

观察 以 下 示例 : 

sourceanalyzer -b my_buildid devenv /REBUILD MyProject.sIn 

它 在 Visual Studio 构建 的 所 有 文件 中 执行 转换 阶段 。 务 必 进 行 清除 或 重新 构建 ， 确 保 将 
所 有 文件 都 包含 在 内 。 

8. Visual Studio 6.0 


如 果 用 Visual Studio 6.0 来 执行 命令 行 构建 , 可 通过 封装 构建 命令 行 并 调用 sourceanalyzer 
来 集成 source code analysis。 

观察 下 面 这 个 例子 : 

sourceanalyzer -b my_buildid msdev MyProject.dsp /MAKE "MyProject DEBUG"/REB 
UILD 

这 会 对 Visual Studio 构建 的 所 有 文档 都 执行 转换 阶段 。 正 如 Visual Studio 文档 中 所 描述 
的 ， 为 将 所 有 文件 都 包含 在 内 ， 务 必要 进行 清除 或 重新 构建 。 


8.6.5 ”转换 ABAP/4 


1. 关于 转换 ABAP/4 代码 

翻译 ABAP/4 代码 类 似 于 翻译 其 他 操作 语言 的 代码 , 但 需要 额外 的 步骤 从 SAP 数据 库 中 
提取 代码 ， 并 准备 将 其 扫描 。 本 章 假设 SCA 正在 运行 ， 并 且 读 者 对 SCA、SAP 和 ABAP/4 
有 一 个 基本 了 解 。 

2. 扫描 ABAP 代码 

当 一 个 包 从 ABAP 被 提取 出 来 ，HP Fortify 的 ABAP 提取 器 用 与 包 名 匹配 的 parentcl 域 
从 TDEVC 中 提取 所 有 数据 ,然后 把 提取 出 的 数据 作为 parentcl 域 , 同 之 前 一 样 再 递归 从 TDEVC 
提取 相关 所 有 数据 。 从 TDEVC 提取 的 这 个 字段 称 为 devclass。DEVCLASS 值 被 视 为 一 组 程 
序 名 ， 并 与 同 其 他 程序 名 一 样 执行 相关 的 操作 。 
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程序 是 通过 匹配 名 称 域 从 TRDIR 提取 得 到 ， 该 名 称 域 可 能 是 用 户 在 选择 屏幕 中 提供 的 
程序 名 得 到 , 也 可 能 通过 与 来 自 TDEVC 提取 的 值 的 列表 作对 比 得 到 (如 果 提供 了 一 套 给 定 的 
匹配 名 称 字 段 中 的 程序 名 称 )。 从 TRDIR 获得 的 行 就 是 那些 名 称 域 , 它们 具有 像 programname 
的 程序 名 称 , 名 称 域 的 作用 是 继续 提取 行 。 最终 名 单 是 READ ”REPORT 用 于 从 SAP 系统 获 
取代 码 。 此 方法 仅 从 REPORTs 读 取 类 和 方法 。 

每 个 READ ”REPORT 调用 产生 一 个 文件 ， 此 文件 在 本 地 系统 上 的 临时 文件 夹 中 。 这 组 
文件 由 源 分 析 器 翻译 和 扫描 ， 产 生 可 被 HP Fortify 的 Audit Workbench 查看 的 FDR 文件 。 

当 源 代码 下载 完 成 ,HP Fortify 的 ABAP 提取 器 会 检查 INCLUDE 描述 语句 。 被 发 现时 ， 
它 也 会 将 INCLUDE 内 容 下 载 到 本 地 计算 机 进行 分 析 。 

3. 过 程 概述 

在 翻译 ABAP/4 代码 之 前 需要 两 个 主要 步骤; 

e SAP 服务 器 上 安装 一 个 传输 请 求 ， 在 这 个 步骤 中 ， 将 安装 HP Fortify 的 提取 程序 ; 

e 创建 一 个 事务 对 象 。 

4. 传输 请 求 

ABAP 扫描 可 作为 SCA 的 高 级 功能 ， 如 果 购 买 了 包含 此 功能 的 许可 证 ， 需 要 在 SAP 服 
务 器 上 安装 HP Fortify 的 传输 请 求 ， 请 联系 HP Fortify 技术 支持 部 门 获取 一 份 惠普 传输 请 求 
或 相关 信息 的 副本 ， 在 SCA 的 许可 副本 中 再 添加 这 个 功能 。 

5. 创建 事务 对 象 

将 需要 为 推出 一 个 SCA 扫描 创建 一 个 事务 对 象 。 按 下 面 的 步骤 来 创建 一 个 事务 对 象 。 

1) 按 Esc 键 ， 直 至 到 达 SAP 轻松 访问 屏幕 ， 并 键入 se93。Maintain Transaction 界面 出 
现 ， 如 图 8-24 所 示 。 

EE Maintain Transaction 
名 -4 日 |C@@ | 口服 晤 | 澡 避 全 得 @ 国 


Maintain Transaction 
癌 加 吕 钙 加 站 吕 除 


Transaction Code 


Br Display jg change |] 口 Create 


图 8-24 Maintain Transaction 界面 
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2) 在 事务 代码 框 中 键入 Z_AMOL SCA 并 单 击 Create 按钮 。 将 出 现 Create Transaction 
对 话 框 ， 如 图 8-25 所 示 。 


区 Create Transacion 


Transaction code |Z_AMOL_SCA 


lLaunch SCA 


OProgram and screen (dialog transaction) 


全 Program and selection screen (reporttransaction) 
OO Method ofa class (DOtransaction) 

OTransaction with variant (variant transaction) 

DO Transaction with parameters (parameter transaction) 


图 8-25 “Create Transaction 界面 


3) 在 Transaction attributes 部 分 , 在 短文 本 框 中 输入 事务 (例如 : 运行 SCA) 目 标的 简短 说 明 。 
4) 在 Start object 部 分 ， 选 择 程序 和 选择 屏幕 (报告 交易 ) 单 选 按钮 。 
5) 单 击 绿色 的 对 号 按钮 ， 出 现 Create Report Transaction 屏幕 ， 如 图 8-26 所 示 。 

= Create Report Transaction ELE 


名 了] 4 国 |C@@|D 闻 胎 | 划 要 们 娄 | 加 加 | 全国 
Create Report Transaction 

和 中 多 办 扣 国 中 品 虽 一 日 
Transacton coce ENOCSE 3 
Pacrage [ 

Transactontert | 

Program [3 

Salection saeen [5 


Statwih varant 


Authorizaton Objedt [ ET 


[Ciassmcanon 
| Tansacion dassficaton 
DProfessional User Transadion 
OEasy Web Transection Semice = 
The object will be created in he orignal language Engfsh (EN) 二、 | 


图 8-26 ”Create Report Transaction 界面 


6) 在 Package 文本 框 中 键入 STMP。 

注意 ， 如 果 Package 框 不 可 编辑 ， 请 空 着 ， 在 之 后 的 界面 可 输入 Package 详细 信息 。 

7) 在 Program 框 输入 程序 名 称 (例如 Z_AMOL SCA) 

8) 在 图 像 支 持 部 分 ， 选 择 所 有 三 个 复 选 框 。 

9) 单 击 工具 栏 上 的 Save。Create Object Directory Entry 界面 会 显示 出 来 ， 如 图 8-27 所 示 。 
注意 : 如 果 未 在 Package 字段 中 输入 一 个 屏幕 中 包 的 详细 信息 ， 请 键入 $ TMP。 

10) 击 Save 按钮 。 
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蕊 Create Report Transaction ESE 


多 ”14 目 |C@@|BB 肌 县 | 区 着 荐 外 1 国 圆 | 久 国 


Create Report Transaction 
让 宁 多 四 名 国富 品 昌 口 加 


AOLSCA 


Transacion code 
Package 
EB creats oajed Direcon Enty 


oted [EGFRAIZANOL SEN 


Transaction tad 
Program 


Amibutes 
Package 


Belecion acreen 
Statwih variant 


Responst [E33 

Nora ol Person Responsiole Esa 
Gleason Tiginal System JE 

Originallanguage [EEnglish 

| Me 


图 8-27 ”CreateObject Directory Entry 界面 


6. 将 Fortify SCA 加 入 收藏 列表 


将 Fortify SCA 添加 到 收藏 夹 列表 是 可 选项 ,但 这 样 做 可 能 会 更 便捷 地 进入 和 启动 Fortify 
SCA 扫描 。 下 面 的 步骤 假定 是 日 常 使 用 的 用 户 菜单 。 如 果 是 从 不 同 菜单 进行 ， 将 收藏 夹 链接 
添加 到 使 用 的 菜单 。 再 创建 的 Fortify SCA 项 目 ，SAP 服务 器 将 在 基于 Web 的 客户 端的 SAP 
轻松 访问 区 域 运 行 。 

1) 从 SAP 轻松 访问 菜单 ， 在 会 话 框 键入 S000，SAP 菜单 出 现 。 

2) 右 击 最 爱 文件 夹 ， 选 择 插 入 会 话 。Manual 
entry of a transaction 框 出 现 ， 如 图 8-28 所 示 。 

3) 在 会 话 代码 框 键入 Z_AMOL SCA。 

注意 : 如 果 创 建交 易 代码 时 选择 了 不 同 的 名 
称 ， 请 使 用 这 个 名 称 。 图 8-28 Manual entry of a transaction 界面 

4) 单 击 绿色 对 号 按钮 , 运行 SCA 选项 出 现在 
收藏 列表 中 ， 如 图 8-29 所 示 。 


区 SAP Easy Access 
人 4 CO BDVYD| NI 人 DE 
«SAP Easy Access 

全 匠 可 品 omermenu 国葬 信和 creaeme 加 esss 让 poumenaton 
“Br sor 


“ 园 z100_HP_FORTFY_SCA- Exdract ABAP, Ila 
+， 园 Z100 ZFSCA- Launcn SCAand Exracor 


Manual enty of a transacion 


| Transaction Code 区 


» 癌 cmss-Applcanon components 


» Dnformation srstems 
» DToas 


Noge addedto favortes iat 


图 8-29 ”收藏 列表 界面 
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单 击 link 启动 SCA， 如 图 8-30 所 示 。 


[52 [I-13] de 
pam Em ooo geen to 人 


上 


Invoke Fortify SCA 


C: \Users\brookel1\SapWorkDir\28119761/625346/| 


C: \Users\brookcl1\SapworkDIr\ 


but1d-625346 


8-30 Invoke Fortify SCA 


7. 运行 HP Fortify ABAP 提取 器 
1) 从 Favorites 链接 运行 程序 (交易 代码 )， 或 手动 启动 Zz AMOL SCA 对 象 ， 如 图 8-31 
所 示 。 


E HP Fortify ABAP Extractor 
714 目 |C@@|BD 闻 部 | 性 召 拉 作 | 图 四 | 多 国 


图 8-31 HPFortify ABAP 提取 器 


2) 填写 所 要 求 的 信息 ， 如 表 8-3 所 示 。 
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表 8-3 要 求 填写 的 信息 


部 分 数据 

对 象 输入 想 要 扫描 的 软件 组 件 、 包 、 程 序 、BSP 或 Web Dynpro 组 件 名 
FPR 文件 路 径 : 输入 想 要 存储 的 FPR 文件 路 径 ， 包 括 要 指定 的 FPR 文件 名 称 。 
工作 目录 : 输入 提取 的 源 代码 所 在 的 目录 并 复制 此 目录 。 

源 分 析 器 参数 人 WD 为 扫描 。 
转 详 参数 : 列 出 所 有 可 选 源 分 析 器 转换 参数 。 
扫描 参数 : 列 出 所 有 可 选 源 分 析 器 扫描 参数 。 
ZIP 文 件 名 : 如 果 需 要 压缩 包 提供 输出 ， 输 入 一 个 ZIP 文件 名 
下 载 : 选中 此 复 选 框 以 指示 SCA 下 载 从 SAP 数据 库 中 提取 的 源 代码 。 
建设 : 选中 此 复 选 框 用 人 符号 以 指示 SCA 

动作 扫描 : 勾 选 此 项 ， 要 求 扫描 。 


启动 AWB: 选中 此 复 选 框 来 启动 审计 工作 台 并 加 载 FPR。 
创建 ZIP: 选中 此 复 选 框 ， 要 求 输出 是 压缩 格式 。 
过 程 中 背景 : 选中 此 复 选 框 以 处 理发 生 在 后 台 的 请 求 


3) 单 击 执行 按钮 。 
8.6.6 转换 FLEX 


1. 命令 
下 面 列 出 命令 行 选项 : 

-flex-sdk-root(com .fortify.sca.FlexSdkRoot) 应 指向 一 个 有 效 的 Flex SDK 的 根 。 此 文件 夹 应 
包含 flex-config.xml 的 一 个 框架 文件 夹 。 它 也 应 该 包含 一 个 bin 文件 夹 (包含 一 个 mxmlc 可 执 
行文 件 )。 用 户 可 在 -sca.properties 文件 中 设置 此 属性 。 

-flex-libraries(com .fortify.sca.FlexLibraries) 包 含 “: ”或 “; ”分 隔 的 列表 (“: ”为 大 多 
数 平台 ,，“; ”为 Windows 平台 ) 上 要 “链接 ”到 库 的 名 称 。 大 多 数 情 况 下 , 该 列表 包括 flex.swc， 
framework.swc 和 playerglobalswc( 通 常 在 Flex SDK 根 目录 下 的 frameworks/libs/)。 用 户 可 在 
-sca.properties 文件 中 设置 此 属性 来 使 用 SWC 的 相同 设置 。 

注意 :用 户 可 指定 SWC 或 SWFE 文件 作为 Flex 库 ， 但 目前 不 支持 SWZ。 

-flex-source-roots(com fortify.scaFlexSourceRoots) 包 含 “: ”或 “; ”在 MXML 源 都 可 以 
找到 的 根 目 录 中 分 隔 的 列表 。 通常 情况 下 ， 这些 都 将 包含 一 个 名 为 com 的 子 文 件 夹 。 例如， 如 
果 一 个 Flex 源 指向 foo/bar/src 目录 ，foo/bar/src/com/fortify/manager/uti/Foo.mxml 将 得 到 一 个 名 
为 com fortify managerutil Foo 的 对 象 (在 com fortifymanager.util 包 中 的 名 为 Foo 的 对 象 )。 

-flex-sdk-root 和 -flex-source-roots 主要 用 于 MXML 编译 ， 并 且 为 可 选 ， 如 果 你 扫描 纯 
ActionScript。-flex-libraries 用 于 解决 所 有 的 ActionScript。 

注意 ,MXML 文件 被 翻译 成 ActionScript, 然后 通过 动作 脚本 解析 器 运行 .所 生成 的 Action 
Script 旨 在 进行 简单 分 析 ， 不 会 严格 纠正 ， 如 Flex 的 运行 时 模型 。 由 于 这 一 结果 ， 可 能 会 得 
到 MXML 文件 解析 错误 。 例 如 ，XML 解析 可 能 会 失败 ， 翻 译 为 ActionScript 可 能 会 失败 ， 
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以 及 由 此 产生 的 ActionScript 的 解析 也 可 能 会 失败 。 如 果 发 现任 意 与 源 代 码 无 关 的 错误 ， 请 
通知 HP Fortify 的 技术 支持 部 门 。 
2. ActionScript 命令 行 语法 


执行 ActionScript 的 基本 命令 行 语 法 是 

sourceanalyzer -b <build id> -flex-libraries <listOfLibrarnes> 

要 将 文件 直接 传递 到 Fortify SCA， 请 输入 

sourceanalyzer -b <build id> -flex-libraries <listOfLibraries> 

3. ActionScript 命令 行 举例 

例子 1 

下 面 的 例子 是 只 包含 一 个 MXML 文件 和 单个 SWF 库 (MyLib.swf) 的 简单 应 用 。 

Sourceanalyzer -b 9 lexApp -flex-libraries lib/MyLib.swf -flex-sdk-root /home/myself/ 
flex-sdk/ -flex-source-roots.my/app/FlexApp.mxml 

以 上 标识 库 的 位 置 ,包括 并 确定 了 Flex SDK 和 Flex 源 的 根 目录 位 置 .这 个 位 于 myapp/FlexApp. 
mxml 的 独立 MXML 文件 被 转换 成 位 于 my.app 包 下 名 为 FlexApp 的 一 个 独立 ActionScript 类 。 

例子 2 

下 面 的 例子 是 在 源 文件 是 相对 于 src 目录 的 应 用 程序 。 它 使 用 一 个 单一 的 SWE 库 MyLib. 

swf， 以 及 Flex 和 Flex SDK 的 框架 库 。 

sourceanalyzer -b MyFlexProject -flex-sdk-root /home/myself/flex-sdk/ -flex-sourceroots src/ 
-flex-libraries lib/MyLib.swf src/**/*.mxml src/**/*.as 

在 这 个 例子 中 ,实现 定位 Flex SDK。SCA 文件 说 明 符 用 来 包含 sre 文件 夹 下 的 .as 和 mxml 
文件 。 这 指定 在 -flex-sdk-root 下 没 必 要 显 式 指出 的 .swf 文件 。 但 本 例 做 法 是 为 了 进行 说 明 。 
SCA 会 自动 定位 所 有 Flex SDK 根 目录 下 .swc 文 件 ,并 假定 这 些 都 旨 在 用 于 翻译 的 ActionScript 
或 mxml 文件 。 

例子 3 

在 这 个 例子 中 ，Flex SDK 的 根 和 Flex 库 在 属性 中 被 指定 ， 因 为 输入 数据 文件 非常 耗 时 ， 
该 应 用 程序 可 分 成 并 保存 为 两 部 分 : 一 个 主要 部 分 文件 夹 和 一 个 模块 文件 夹 。 每 个 文件 夹 应 
包含 其 开始 路 径 的 src 文 件 夹 。 使 用 通配符 的 文件 规范 获取 所 有 .mxml 和 .as 文件 ,main/src/comy 
foo/uti/Foo.mxml 将 被 转换 为 包 com fooutil 中 名 为 Foo 的 一 个 ActionScript 类 ， 例 如 ， 用 在 
此 处 指定 的 源 根 目录 : 

sourceanalyzer -b MyFlexProject -flex-source-roots main/src:modules/sre ./main/src/**/ 
* mxml /main/src/**/*.as /modules/src/**/*.mxml ./modules/src/**/*.as 


4. 处 理 警 告 


要 查看 构建 过 程 中 生成 的 所 有 警告 ， 启 动 扫描 之 前 请 输入 以 下 命令 : 
sourceanalyzer -b <bulld_ id> -show-build-wamings 
可 能 会 收 到 类 似 的 消息 : 
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The ActionScript front end was unable to resolve the following imports: ab at y.as:2. foo bar at 
somewhere.as:5. ab at foo mxml:8. 

当 SCA 无 法 找到 所 有 需要 的 库 ， 会 发 生 此 错误 。 可 能 需要 指定 额外 的 swf 与 swfFlex 库 
(-FLEX-libraries 选项 ， 或 com fortify.scaFlex 库 属性 )， 使 SCA 可 以 完成 分 析 。 


8.6.7 ”转换 移动 平台 代码 


1. 转换 Objective-C 代码 


1) Objective-C 命令 行 语法 

用 于 转换 单个 文件 中 的 基本 命令 行 语法 

sourceanalyzer -b <build id><compiler> [<compiler options>] -clean 

sourceanalyzer -b <build_id><compiler> [<compiler options>] 

e <compiler> 是 生成 项 目的 扫描 过 程 中 使 用 的 编译 器 名 。 要 扫描 完整 的 Xcode 项 目 , 可 
以 用 xcodebuild 作为 编译 器 。 扫 描 单 独 的 源 文件 ， 可 通过 clang 或 llvm-gcec 作为 编 
译 器 。 

e <compiler options> 是 通常 用 于 编译 文件 的 编译 器 选项 。 

2) Objective-C 命令 行 例子 

下 面 的 简单 例子 说 明了 所 支持 的 编译 器 的 使 用 模式 。 下 面 的 命令 应 当 在 项 目 文件 所 在 的 
目录 下 运行 。 

使 用 Xcode 编译 器 转换 名 为 myproject 的 工程 ， 请 输入 : 

sourceanalyzer -b my_buildid xcodebuild -sdk iphonesimulator -clean 


sourceanalyzer -b my_buildid xcodebuild -sdk iphonesimulator 

如 果 你 有 蔷 果 开发 者 证 书 ， 传 递 -sdk iphoneos 而 不 是 -sdk iphonesimulator。 
使 用 gcc 编译 器 转换 名 为 HelloWorld.m 文件 ， 请 输入 : 

sourceanalyzer -b my_buildid llvm-gcc -x objective-c HelloWorld.m -clean 


sourceanalyzer -b my_buildid llvm-gcc -x objective-c HelloWorldm 
使 用 clang 编译 器 转换 名 为 HelloWorld.m 文件 ， 请 输入 : 
sourceanalyzer -b my_buildid clang -ObjC HelloWorld.m -clean 
sourceanalyzer -b my_buildid clang -ObjC HelloWorldm 
扫描 应 用 程序 文件 
sourceanalyzer -b my_buildid -scan -f result.fpr 
注意 ， 运 行 这 些 命令 时 ， 源 代码 将 被 编译 。 
Xcode 编译 器 错误 
如 果 收 到 Xcode 编译 器 错误 , 这 可 能 是 由 于 SCA 新 版 本 新 增 clang 选择 的 原因 。 为 消除 
这 些 错误 ， 键 入 xcodebuild 之 后 执行 以 下 操作 : 
ARCHS=i386 GCC TREAT WARNINGS AS ERRORS=NO 
其 中 的 ARCH=386 表示 架构 (ABI 的 处 理 器 型 号 ) 的 二 进 制 是 目标 。 
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2. iPhone 上 Objective-C 

如 果 构 建 为 Phone 代码 ,将 需要 根据 是 否 持 有 一 个 苹果 开发 者 证 书 来 通过 一 个 SDK 选项 。 
如 果 有 苹果 开发 者 证 书 ， 通 过 SDK 的 iPhoneOS。 

如 果 没 有 苹果 开发 者 证 书 ， 通 过 SDK iphonesimulator。 

3. 转换 Google Android 代码 


SSR 提供 了 支持 谷歌 Android 平台 上 运行 的 程序 规则 。 这 些 规则 : 
e 可 识别 不 安全 的 数据 存储 ; 
@ 可 进行 安全 权限 分 类 ， 可 检测 overprivileged 用 途 ; 

e 根据 发 送 和 接收 的 意图 ， 识 别 数据 库 、 文 件 系 统 、 网 络 、 私 人 信息 和 Android 组 件 。 


8.6.8 ”转换 其 他 语言 


1. 适用 于 其 他 语言 的 命令 行 语法 

适用 于 其 他 语言 的 基本 命令 行 语法 是 : 

sourceanalyzer -b <build 1d><file list> 

SQL 注释 : 默认 情况 下 ， 在 Windows 平台 上 ， 会 将 扩展 名 为 .sql 的 文件 视 为 TSQL， 
而 不 是 PL/SQL。 如 果 正 在 使 用 Windows 平台 ， 并 且 具 有 扩展 名 为 .sql 的 PL/SQL 文件 ， 则 
应 该 配置 Fortify SCA 使 其 将 这 些 文件 视 为 PL/SQL。 要 更 改 此 默认 行为 ， 可 将 fortify-sca. 
properties 中 的 com.fortify.sca.fileextensions.sql 属性 设置 为 TSQL 或 PLSQL。 

输入 以 下 语句 以 便 对 ColdFusion 源 代码 执行 转换 : 

sourceanalyzer -b <build -id> -source-base-dir <dir><files|filespecifiers> 

其 中 : 

<build id> 指 定 项 目的 构建 ID 

<dir> 指 定 Web 应 用 程序 的 根 目录 

<fileslfile specifiers> 指 定 CFML 源 代码 文件 


ColdFusion 注释 : Fortify SCA 将 通过 使 用 -source-base-dir 目录 作为 起 始点 ， 计 算出 每 个 
CFML 源 文件 的 相对 路 径 ， 然 后 在 生成 实例 ID 时 使 用 这 些 相对 路 径 。 即 便 将 整个 应 用 源 树 
移动 到 另 一 个 目录 ， 如 果 为 -source-base-dir 指定 了 一 个 适当 值 ， 通 过 安全 分 析 生 成 的 实例 ID 
也 应 该 会 保持 不 变 。 

表 8-4 显示 出 了 各 种 文件 说 明 符 。 

表 8-4 文件 说 明 符 
文件 说 明 符 描述 
<dimame> 在 指定 目录 或 子 目 录 下 找到 的 所 有 文件 
<dimame>/**/Example.js 在 指定 目录 或 子 目 录 下 找到 的 任何 名 为 Examplejs 的 文件 
<dimame>/*.js 在 指定 目录 下 找到 的 任何 带 有 扩展 名 js 的 文件 
<dimame>/**/* js 在 指定 目录 或 子 目 录 下 找到 的 任何 带 有 扩展 名 js 的 文件 
<dirmame>/**/* 在 指定 目录 或 子 目 录 下 找到 的 所 有 文件 (与 <dimame> 相 同 ) 


*。332。 软件 安全 测试 及 工具 应 用 


注意 : Windows 及 许多 UNIX shell 会 自动 尝试 展开 含有 *' 字符 的 参数 ， 因 此 应 当 使 用 
文件 说 明 符 表达 式 。 而 且 ， 在 Windows 中 ， 输 入 反 斜 杠 Q) 而 不 是 正 斜 杠 (/)。 


2. 其 他 语言 命令 行 示例 


。 转换 PL/SQL 的 示例 

以 下 示例 显示 了 转换 两 个 PL/SQL 文件 的 语法 : 

sourceanalyzer -b MyProject xpks y.pks 

以 下 示例 显示 了 如 何 转换 sources 目录 下 的 所 有 PL/SQL 文件 : 
sourceanalyzer -b MyProject "sources/**/* pks" 

。 转换 T-SQL 的 示例 

以 下 示例 显示 了 转换 两 个 T-SQL 文件 的 语法 : 

sourceanalyzer -b MyProject x.sql] y.sql 

以 下 示例 显示 了 如 何 转 换 sources 目录 下 的 所 有 T-SQL 文件 : 
sourceanalyzer -b MyProject “sources\**\*.sq]” 

注意 : 此 示例 假定 fortify-scaproperties 文件 中 的 com fortify.sca.fileextensions.sql 属性 设 

置 为 "T-SQL"。 

e 转换 PHP 的 示例 

要 转换 名 为 MyPHP.php 的 单个 文件 ， 输 入 : 

sourceanalyzer -b mybuild "MyPHP.php" 

e 转换 用 VBScript 语言 编写 的 Classic ASP 的 示例 

要 转换 名 为 MyASP.asp 的 单个 文件 ， 输 入 : 

sourceanalyzer -b mybuild "MyASP.asp" 

e ”转换 JavaScript 的 示例 

要 转换 scripts 目录 下 的 所 有 JavaScript 文件 ， 输 入 : 
sourceanalyzer -b mybuild "scripts/*.js" 
e 转换 VB 4.0 脚本 文件 的 示例 

要 转换 名 为 myApp.vb 的 VB 4.0 文件 ， 输 入 : 

sourceanalyzer -b mybuild "myApp.vb" 
e 转换 ColdFusion 的 示例 

以 下 示例 显示 了 用 于 转换 两 个 CFML 文件 的 语法 : 
sourceanalyzer -b MyProject -source-base-dir .Pagel.cfm Page2.cfm 
以 下 示例 显示 了 如 何 转 换 CMySite 目录 下 的 所 有 CFML 文件 : 
sourceanalyzer -b MySite -source-base-dir C:\MySite "C:\MySite\**\*.cfm" 


8.6.9 故障 排除 与 支持 


1. 故障 排除 


1) 使 用 日 志文 件 调试 问题 
如 果 在 运行 Fortify SCA 时 遇 到 和 警告 或 者 问题 ， 可 使 用 -debug 选项 再 次 运行 Fortify 
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SCA。 这 会 在 以 下 目录 中 生成 一 个 名 为 scalog 的 文件 : 

e 在 Windows 平台 上 : C:\Documents and Settings\<usemame>\LocalSettings\Application 
Data\Fortify\sca$.0\log 

。 在 其 他 平台 上 : $SHOME /fortify/sca5.0/log 

将 scalog 文件 压缩 为 zip 文件 ， 通 过 电子 邮件 发 送 至 technicalsupport@fortify.com 以 便 
进行 进一步 研究 。 

2) 转换 失败 的 消息 

如 果 C/C++ 应 用 程序 构建 成 功 ， 但 当 使 用 Fortify SCA 进行 构建 时 却 看 到 一 条 或 多 条 
“转换 失败 ”消息 ， 此 时 ， 请 编辑 <install_directory>/Core/config/fortify-sca properties 文件 ， 修 
改 以 下 命令 行 : 

com .fortify.sca.cpfe.options= --remove_unneeded entities --suppress_vtbl 

改 为 

com .fortify.sca.cpfe.options=-w --remove unneeded entities --suppress_vtbl 

重新 执行 构建 ， 输 出 转换 器 遇 到 的 错误 。 如 果 输 出 的 结果 表明 编译 器 与 Fortify 转换 器 
之 间 存 在 冲突 ， 可 将 输出 发 送 给 Fortify 技术 支持 部 门 ， 以 便 进行 进一步 的 研究 。 

3) JSP 转换 问题 

Fortify SCA 使 用 内 署 的 或 特定 应 用 程序 服务 器 的 JSP 编译 器 将 JSP 文件 转换 为 Java 文 
件 以 进行 分 析 。 如 果 在 Fortify SCA 将 JSP 文件 转换 为 Java 文件 以 进行 分 析 的 过 程 中 ，JSP 
分 解 器 遇 到 问题 ， 会 看 到 如 下 的 消息 : 

Failed to translate the following jsps into analysis model. Please see the log file for any errors 


from the jsp parser and the user manual for hints on fixing those. 
<List of JSP file names> 
此 问题 通常 由 以 下 一 个 或 多 个 原因 造成 ; 
e。 Web 应 用 程序 的 布局 方式 不 是 适当 的 可 部 署 WAR 目录 格式 ， 
e 缺少 应 用 程序 所 需 的 某 些 JAR 文件 或 类 ; 
e ”应 用 程序 中 缺少 某 些 标签 库 或 者 其 定义 (TLD)。 
要 获取 更 多 关于 这 个 问题 的 信息 ， 请 执行 以 下 步骤 : 
a) 在 编辑 器 中 打开 Fortify SCA 日 志文 件 。 
b) 搜索 字符 串 Jsp parser stdout: 和 Jsp parser stderr: 。 
这 些 错误 由 所 用 的 JSP 分 析 器 生成 。 请 先 解决 这 些 错误 ， 然 后 重新 运行 Fortify SCA。 
3) ASPX 转换 问题 
Fortify SCA 会 将 ASPX 文件 编译 为 DLL 文件 以 进行 分 析 ， 如 下 所 示 : 
e 如 果 使 用 的 是 NET 2.0( 或 更 高 版 本 ) 和 Visual Studio 2005, 请 使 用 Microsoftaspnet_ 
compile 编译 器 ; 
e 如 果 使 用 的 是 NET 1.1 和 Visual Studio 2003, 请 设法 每 次 从 网 站 提取 一 个 ASPX 文 件 ; 
如 果 存 在 以 下 问题 ， 编 译 操作 就 会 失败 : 
e 存在 访问 或 authentication 问题 ， 导 致 无 法 访问 Web 应 用 程序 ; 
e 缺少 某 些 必要 的 DLL 文件 。 
在 任何 一 种 情况 下 ， 都 会 看 到 类 似 于 以 下 内 容 的 消息 : 
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Failed to translate the following aspx files into analysis model. Please see the log file for any 
errors from the aspx precompiler and the user manual for hints on fixing those. 
<List of ASPX file names> 

如 果 正 在 使 用 插件 ， 请 启动 插件 调试 ， 并 检查 插件 日 志文 件 中 是 否 存在 由 ASPX 预 纺 
译 器 生成 的 错误 。 

如 果 正 在 使 用 命令 行 工具 fortify aspnet compiler， 应 该 会 在 控制 台 上 看 到 错误 消息 。 

如 果 仍 无 法 确定 问题 的 原因 ， 请 尝试 从 浏览 器 中 访问 失败 的 ASPX 文件 ， 看 看 会 显示 哪 
些 问 题 。 如 果 看 到 诸如 cannot locate assembly 之 类 的 消息 ， 请 务必 先 获 取 缺 少 的 DLL 文件 ， 
然后 重新 运行 Fortify SCA。 

如 果 能 从 浏览 器 中 访问 失败 的 ASPX 文件 ， 但 Fortify SCA 仍 无 法 扫描 该 文件 ， 请 与 Fortify 
技术 支持 部 门 联系 以 获得 更 多 帮助 。 

4) C/C++ 预 编译 的 头 文件 

一 些 C/C++ 编 译 器 支持 一 种 叫做 “ 预 编 译 头 文件 ”的 功能 ， 该 功能 可 以 加 快 编译 。 有 些 
编译 器 实现 这 种 功能 后 ， 会 产生 微妙 的 副作用 。 当 激活 这 个 功能 时 ， 编 译 器 可 能 会 不 经 过 区 
告 或 者 报错 就 接受 错误 的 源 代码 。 这 种 情况 下 会 产生 矛盾 : 即使 编译 器 没有 执行 Fortify SCA， 
也 会 报告 转换 错误 。 

如 果 使 用 编译 器 的 预 编译 头 文件 功能 ， 请 确保 源 代码 在 禁用 预 编译 头 文件 功能 的 情况 下 
可 以 成 功 编译 并 执行 完整 的 构建 过 程 。 

2. 报告 Bug 和 请 求 加 强 

反馈 对 于 产品 的 成 功 必 不 可 少 。 若 请 求 加 强 功能 或 补丁 ， 或 者 要 报告 bug， 请 发 送 电子 
邮件 至 技术 支持 部 门 : technicalsupport@fortify.com。 

请 务必 在 电子 邮件 正文 中 包含 下 列 信息 : 

产品 : Fortify SCA 

版 本 号 : 要 确定 版 本 号 ， 请 运行 以 下 命令 : sourceanalyzer -version 

台 : (例如 PC) 

操作 系统 ，( 例 如 Windows 2000) 

当 请 求 加 强 功 能 时 ， 请 包含 有 关 加 强 功能 的 描述 。 当 报告 bug 时 ， 请 提供 足够 的 详细 信 
息 以 重 现 该 问题 。 给 出 的 描述 越 详 尽 ， 我 们 分 析 和 修复 问题 的 速度 越 快 。 同 时 ， 还 要 提供 自 
问题 发 生 以 来 的 日 志文 件 ， 或 与 问题 相关 的 日 志 内 容 。 


8.7 Audit Workbench 用 户 指南 


8.7.1 Audit Workbench 简介 


1. Audit Workbench 概述 
Audit Workbench 为 Fortify SCA 增加 了 一 个 图 形 用 户 界 面 ， 使 得 开发 组 织 与 安全 审计 小 
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组 能 够 迅速 地 对 分 析 结 果 进 行 组 织 、 调 查 和 划分 优先 级 ， 从 而 在 短 时 间 内 修复 安全 漏洞 。 

1) SCA 阶段 概述 

Audit Workbench 会 启动 Fortify SCA“Scanning( 扫 描 )” 向 导 来 扫描 和 分 析 源 代码 。 该 向 
导 整 合 了 以 下 几 个 分 析 阶 段 : 

e 转换 : 使 用 源 代码 创建 中 间 文 件 ， 源 代码 与 一 个 Build ID 相关 联 ，Build ID 通常 就 


是 项 目 名 称 ; 

。 扫描 与 分 析 : 扫描 中 间 文 件 , 分 析 代 码 , 并 将 结果 写 入 一 个 Fortify Project Results (FPR) 
文件 ; 

。 校 验 : 确保 所 有 源 文件 均 包含 在 扫描 过 程 中 ， 使 用 的 是 正确 的 规则 包 ， 且 没有 报告 
重大 错误 。 

2) 安全 编码 规则 包 概 述 


安全 编码 规则 包 是 Fortify Software 安全 研究 小 组 多 年 软件 安全 经 验 的 体现 , 并 且 经 过 其 
不 断 努 力 改进 而 成 。 这 些 规则 是 通过 对 编码 理论 和 常用 编码 实践 的 研究 ， 而 积累 的 软件 安全 
知识 ， 并 且 在 Fortify Software 安全 研究 小 组 的 努力 下 不 断 扩展 和 改进 。 每 个 安全 编码 规则 包 
均 包 含 大 量规 则 ， 每 个 规则 定义 了 一 个 被 SCA 检测 出 的 特定 异常 行为 。 

一 旦 检测 出 安全 问题 ， 安 全 编码 规则 包 会 提供 有 关 问 题 的 信息 ， 让 开发 人 员 能 够 有 时 间 
计划 并 实施 修复 工作 ， 这 样 比 研究 问题 的 安全 细节 更 有 效 。 这 些 信息 包括 关于 问题 类 别 的 具 
体 信息 、 该 问题 会 如 何 被 攻击 者 利用 ， 以 及 开发 人 员 如 何 确 保 代码 不 受 此 漏洞 的 威胁 。 

安全 编码 规则 包 支 持 多 种 编程 语言 ， 也 支持 各 种 经 过 扩展 的 第 三 方 库 和 配置 文件 。 

2. Audit Workbench 界面 概述 


1) 开始 页 面 概述 
如 图 8-32 所 示 ， 开 始 页 面包 含 以 下 几 个 区 域 : 


图 8-32 Audit Workbench 开始 页 面 


e@ Start New Project( 启 动 新 项 目 ): 启动 源 代码 扫描 向 导 ; 
e@ Custom Rules Editor ( 自 定义 规 则 编辑 器 ): 启动 用 于 创建 和 检查 安全 规则 或 编码 实践 
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规则 的 工具 ， 这 些 规则 可 针对 源 代码 进行 自 定义 ; 

e Open Project( 打 开 项 目 ): 单 击 某 一 项 目 名 称 可 打开 最 近 的 项 目 ， 或 使 用 “Open 
Project( 打 开 项 目 )” 链 接 可 定位 到 某 一 项 目 。 

2) 审计 界面 概述 

图 8-33 显示 了 Auditing (审计 ) 界 面 中 的 Webgoat FPR 文件 示例 。 


auoir wonxssncn = LL 


Summary | Audlt Guide | Scan | Repors 


Fler Set: |Securty Audtor Ve =| | My lsues 


Scammed: lg lls,3, 
Total lsaues 1.549 
corificatlon: pecuns Cer 


All issues by Folder 


Race Condton; 
由 外 SQL Injection - [D / 48] 
HO Xpath Injection -[0 /1] 


图 8-33 Audit Workbench 界面 


Audit Workbench 界面 由 以 下 几 个 面板 组 成 ; 
Issues( 问 题 ) 面 板 
Analysis Trace( 分 析 跟 踪 ) 面 板 
Project Summary( 项 目 摘要 ) 面 板 
Source Code Viewer( 源 代码 查看 器 ) 面 板 
Function( 函 数 ) 面 板 
Issue Auditing( 问 题 审计 ) 面 板 

Issues( 问 题 ) 面 板 

如 图 8-34 所 示 ， 使 用 Issues 问题) 面板， 可 以 对 希望 审计 的 问题 进行 分 组 和 选择 。 该 面 
板 由 下 列 元 素 组 成 : 

ee Filter Set( 过 滤器 组 ) 下 拉 列 表 
Folders( 文 件 夹 ) 选 项 卡 
Group by( 分 组 方式 ) 
。 Search( 搜 索 ) 框 
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过 滤器 组 Filter Set: |Broad MW| 
文件 夹 选项 卡 一 一 一 一 一 > || 者 Hot Erianie rnin 
Hot (75) Hidden (0) Removed (0) Suppress... 
分 组 方式 一 一 一 一 一 一 一 > | Group By: Category Y 


BO cross-Site Scripting -[0154] a 
| AbstractLesson,java:640 (Cross-Ske Scrpting; 
宙 | AbstractLesson,java:640 (Cross-5ke Scrpting) 
而 ) AbstractLesson,java:837 (Cross-5ke 5crpting' 


| AbstractLesson.java:837 (Cross-Ske 5crpting' 
| Basichuthenticakion java:103 (Cross-Site Scrip 
| BasicAuthentication.java:104 (Cross-Site Scrip 
局 Blnd5qlInjection java:57 (Cross-Site Scripting) 
| Chalenge5creen java;262 (Cross-Site Scriptin 
| DatabaseUtiities java:113 (Cross-Site Scriptin¢ 
| DatabaseUultiesjavail13 (Cross-Site Scriptin( © 


Nh hi det fone hn Ervinkin 让 


| “年 


问题 列表 一 | 


搜索 框 


画 | 局 | 器 


8-34 ”问题 面板 


Filter Set( 过 滤器 组 ) 下 拉 列 表 

过 滤器 组 控制 着 Issue( 问 题 ) 面 板 的 设置 和 显示 属性 。 过 滤器 组 是 项 目 配 置 的 一 部 分 。 可 
为 每 个 项 目 自 定义 不 同 的 过 滤器 组 。 每 个 项 目 均 可 具有 唯一 的 过 滤器 组 。 

Filter Set( 过 滤器 组 ) 部 分 包含 以 下 设置 : 

e 文件 夹 的 名 称 和 颜色 。 要 进行 配置 , 请 选择 Tools( 工 具 ), 再 选择 Project Configuration( 项 

目 配置 ) 和 Folder Settings( 文 件 夹 设置 ); 
e 问题 列 出 的 位 置 ， 以 及 是 否 列 出 。 要 进行 配置 ， 请 选择 Options( 选 项 )， 再 选择 Show 
View (显示 视图 ) 和 Filters (过 滤器 )。 

注意 ，Audit Guide Visibility Filters( 审 计 指 南 可 见 性 过 滤器 ) 配 置 适 用 于 整个 项 目 。 

Fortify Software 提供 了 默认 过 滤器 组 ， Broad( 广 泛 )、Medium( 普 通 )、Targeted( 特 定 ) 和 
Developer( 开 发 人 员 )。Filter Sets( 过 滤器 组 ) 将 问题 按 严重 性 归 类 于 Hot( 严 重 )、Waming( 警 告 ) 
和 Info( 信 息 ) 文 件 夹 中 。 所 有 过 滤器 组 都 具有 相同 的 文件 夹 过 滤器 。 

不 同 “Filter Sets( 过 滤器 组 )” 中 会 显示 和 隐藏 不 同 的 问题 : 

e Broad( 广 泛 ): 使 用 最 全 面 的 规则 组 显示 问题 。 应 使 用 该 过 滤器 组 来 发 现 要 审计 的 一 

组 广泛 的 安全 问题 ; 

e Medium( 普 通 ): 显示 了 在 产生 结果 ( 详 述 潜在 问题 ) 和 产生 预期 可 能 的 漏洞 组 之 间 打 破 

平衡 的 问题 ; 

e Targeted( 特 定 ): 显示 在 多 种 行业 内 及 各 种 环境 下 经 证 实 的 具有 高 优先 级 的 问题 类 别 。 

应 使 用 这 些 过 滤器 组 来 发 现 一 组 有 限 的 众所周知 的 关键 安全 问题 ; 

e@ Developer (开发 人 员 ): 显示 开发 人 员 尤 为 关注 的 问题 ， 如 高 准确 性 bug。 

Folders( 文 件 夹 ) 选 项 卡 

Issues( 问 题 ) 面 板 上 的 选项 卡 称 为 “文件 夹 ”。 使 用 Project Configuration( 项 目 配置 )， 可 
以 自 定义 文件 夹 及 其 设置 。 因 此 ， 不 同 过 滤器 组 和 项 目 之 间 的 文件 夹 数 目 、 名 称 、 颜 色 和 问 
题 列表 各 不 相同 。 

文件 夹 过 滤器 将 问题 归 类 于 各 种 文件 夹 中 。 如 果 某 个 问题 与 任何 文件 夹 过 滤器 都 不 匹 
配 ， 该 问题 将 被 列 在 默认 文件 夹 中 。 可 见 性 过 滤器 决定 了 某 个 问题 是 否 显示 在 列表 中 。 
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注意 ， 可 选择 Option( 选 项 )、Show Suppressed( 显 示 已 废除 项 )、Show 了 Hidden( 显 示 隐 藏 
项 )( 显 示 与 可 见 性 过 滤器 匹配 的 项 目 ) 以 及 Show Removed( 显 示 删 除 项 )。 

Group by( 分 组 方式 ) 

Group by( 分 组 方式 ) 选 项 用 于 将 问题 列表 归 类 到 各 个 子 文件 夹 中 。 选 定 的 选项 会 应 用 于 
所 有 可 见 文件 夹 。 使 用 <none (无 > 选项 ， 可 列 出 文件 夹 中 的 所 有 项 目 而 不 进行 任何 分 组 。 

使 用 Audit Workbench， 通 过 更 改 对 分 组 进行 归 类 所 依据 的 属性 、 添 加 或 删除 属性 以 创建 
子 分 组 以 及 添加 自己 的 分 组 选项 ， 可 对 现 有 分 组 进行 自 定义 。 

Group by( 分 组 方式 ) 设 置 适用 于 Audit Workbench 实例 。 可 将 分 组 方式 选项 应 用 于 任何 利 
用 Audit Workbench 实例 打开 的 项 目 。 


Search( 搜 索 ) 框 使 用 Search( 搜 索 ) 字 段 , 可 以 限制 文件 夹 中 显示 的 问题 和 搜索 特定 的 问题 。 
Analysis Trace( 分 析 跟 踪 ) 面 板 
当选 择 某 个 问题 后 ，Analysis Trace( 分 析 跟踪 ) | 0 we plepahe or 疙 
面板 会 显示 相关 的 trace output。 通 常情 况 下 ， 这 生生 


是 一 系列 进程 点 ， 显 示 了 分 析 器 是 如 何 找到 该 间 || 3 和 ret 人 At sossen 

题 的 。 对 于 数据 流 和 控制 流 问题 ， 这 一 系列 点 会 ‖ 各 Heees oem weapontrem tomerecomn| 
以 执行 顺序 显示 。 et 

例如 ， 如 果 选 择 菜 个 与 可 能 被 感染 数据 流 相 | 区 区 ees 

关 的 问题 , Analysis Trace( 分 析 跟踪 ) 面 板 会 显示 这 | ro 
段 源 代码 中 数据 流 的 移动 方向 ， 如 图 8-35 所 示 。 

Analysis Trace (分 析 跟踪 ) 面 板 使 用 图 8-36 图 8-35 分 析 跟 踪 面板 


中 的 图 标 来 显示 本 段 源 代码 中 数据 流 的 移动 方式 。 


图 标 描述 
:二 | 数据 被 分 配 到 一 个 字段 或 变量 
信息 读 取 自 菜 个 代码 的 外 部 数据 源 (如 HTML 格式 和 URL 忽 ) 
多 | 数据 被 分 配 到 一 个 全 局 字段 或 变量 
久 | 已 执行 比较 
函数 调用 收 到 被 感染 的 数据 
函数 调用 返回 被 感染 的 数据 
Pass-through， 被 感染 的 数据 在 函数 调用 中 从 一 个 参数 传递 到 另 一 个 参数 
为 某 个 内 存 位 置 创建 一 个 别名 
从 一 个 变量 读 取 数据 
从 一 个 全 局 变量 读 取 数据 
从 一 个 函数 返回 被 感染 的 数据 
创建 一 个 指针 
取消 一 个 指针 
变量 范围 终止 
执行 员 跃 
在 代码 执行 中 引入 分 支 
代码 执行 中 未 引入 分 支 
常规 


国 圈 回国 图 围 国 记 回 回 关 沁 


图 8-36 ”分析 跟踪 图 标 
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Project Summary( 项 目 摘要 ) 面 板 

如 图 8-37 所 示 ，Project Summary( 项 目 摘要 ) 面 板 提供 了 关于 扫描 的 详细 信息 。 
e Summary( 摘 要 ) 选 项 卡 

e@ Certification( 认 证 ) 选 项 卡 

e Build Information(Build 信息 ) 选 项 卡 

e@ Analysis Information( 分 析 信息 ) 选 项 卡 


All issues by Folder 


I + 
wn"0 (+2 


图 8-37 ”Project Summary 面板 


Summary( 摘 要 ) 选 项 卡 

Summary( 摘 要 ) 选 项 卡 显示 了 关于 本 项 目的 高 级 信息 。 

Certification( 认 证 ) 选 项 卡 

Certification( 认 证 ) 选 项 卡 显 示 了 结果 认证 状态 。 结 果 认 证 用 于 检查 FPR 文件 是 否 与 
FortifySCA 所 生成 的 文件 一 致 。 

Build Information(Build 信息 ) 选 项 卡 

Build Information(Build 信息 ) 选 项 卡 显示 了 以 下 Fortify SCA 扫描 信息 : 

Build 详细 信息 ， 如 BuildID、 扫 描 的 文件 数 、 扫 描 日 期 ， 可 能 会 与 文件 的 转换 日 期 不 同 。 

扫描 的 文件 列表 ， 包 括 文件 大 小 和 时 间 戳 。 

Java 类 路 径 。 

Analysis Informmation( 分 析 信 息 ) 选 项 卡 

Analysis Information( 分 析 信息 ) 选 项 卡 显示 了 Fortify SCA 的 版 本 、 计 算 机 详细 信息 以 及 
执行 扫描 的 用 户 。 

Analysis Information( 分 析 信 息 ) 子 选项 卡 包含 以 下 信息 : 

规则 包 : 列 出 用 于 扫描 源 代码 的 规则 包 ， 包 括 每 个 规则 包 的 名 称 、ID 和 版 本 号 。 

属性 ， 显示 Fortify SCA 属性 文件 的 设置 。 

命令 行 参数 ， 显示 用 来 分 析 项 目的 命令 行 选项 。 

警告 : 列 出 了 分 析 期 间 发 生 的 所 有 错误 和 警告 。 

3) Source Code Viewer( 源 代码 查看 器 ) 面 板 

Source Code Viewer( 源 代码 查看 器 ) 面 板 显示 了 与 在 Issues (问题 ) 面 板 中 选择 的 问题 相关 


。340 。 软件 安全 测试 及 工具 应 用 


联 的 代码 段 。 如 果 Analysis Trace( 分 析 跟 踪 ) 面 板 中 的 多 个 节点 代表 一 个 问题 ， 则 SourceCode 
Viewer( 源 代码 查看 器 ) 面 板 会 显示 与 所 选 节 点 相关 联 的 代码 。 

在 Source Code Viewer( 源 代码 查看 嚣 ) 面 板 中 , 可 使 用 代码 辅助 功能 创建 自 定 义 规则 和 新 
问题 ， 如 下 所 示 : 

要 为 某 个 函数 创建 规则 ， 可 将 光标 放 在 该 函数 中 ， 单 击 鼠 标 右键 ， 然 后 选择 Write Rule 
for This Function( 为 此 函数 编写 规则 )。 

要 创建 新 问题 ， 可 将 光标 放 在 该 函数 中 ， 单 击 鼠 标 右键 ， 然 后 选择 Create New Issue( 创 
建新 问题 )。 

4) Function( 函 数 ) 面 板 

如 图 8-38 所 示 ，Function( 函 数 ) 面 板 显示 了 项 目 中 的 函数 /方法 列表 。 使 用 “Function ( 函 
数 )” 面 板 可 找 出 该 函数 在 源 代码 中 的 位 置 ， 了 解 函 数 是 否 应 用 和 匹配 某 个 规则 ， 以 及 编写 和 
验证 自 定义 规则 。 


Functions 


Show: Al We 


Group by: Bd 


© dosel) 人 
© dosel) 
© closeLesson5ession(AbstractLesson) = 
© compareTo(Integer) 
® compareTo(Object) 
© compareTo(Object) 
© compareTo(Object) 
© compareTo(String) 
© compile(String) 
® completedHackableAdmin() 
© concat(String) 
国 和 | > 


| 国 


Search: 


图 8-38 ”函数 面板 


Function( 函 数 ) 面 板 具 有 以 下 选项 : 

e Show( 显 示 ): 确定 显示 在 该 列表 中 的 函数 ; 

e Group by( 分 组 方式 ): 将 函数 归 类 到 各 个 包 和 类 中 ， 显 示 层 次 结构 或 直接 显示 所 有 函 

数 而 不 进行 分 组 ; 

®@ Include unused fonctions( 包 括 未 使 用 的 函数 ): 显示 源 代码 中 的 每 个 函数 。 

默认 情况 下 ， 列 表 中 不 会 包含 未 使 用 的 函数 。 

Legend( 图 例 ): 显示 一 个 用 于 解释 各 个 列表 图 标的 窗口 。 函 数 旁 边 的 图 标 颜色 指明 该 函 
数 是 否 应 用 了 规则 ， 如 下 所 示 : 

红色 : 未 应 用 任何 规则 。 

蓝 色 : 可 应 用 规则 ， 但 没有 匹配 的 规则 。 

绿色 : 可 应 用 规则 ， 并 且 有 匹配 的 规则 。 

Search( 搜 索 ): 仅 限 于 显示 那些 包含 输入 的 字符 串 的 函数 。 
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该 字段 不 区 分 大 小 写 ， 如 果 该 字段 为 室 ， 将 显示 所 选 组 中 的 所 有 函数 。 
右键 单 击 某 个 函数 可 显示 以 下 选项 : 

Open Declaration (打开 声明 ): 显示 该 函数 在 源 代码 中 声明 的 位 置 。 

Find Usages (查找 用 法 ): 创建 函数 所 应 用 于 的 文件 位 置 的 列表 。 会 在 “Audit (审计 )” 面 
板 中 打开 “Search (搜索 )” 选 项 卡 ， 其 中 显示 它 所 在 的 文件 名 称 。 

Generate Rule for Function (为 此 函数 生成 规则 ): 启动 “Custom Rules ( 自 定义 规则 )” 向 导 
来 编写 将 应 用 于 该 函数 的 规则 。 

Show Matched Rule (显示 匹配 的 规则 ): 列 出 了 与 该 函数 相 匹配 的 所 有 规则 所 属 规则 包 的 
规则 ID 和 文件 名 。 

5) Issue Auditing (问题 审计 ) 面 板 

Issue Auditing (问题 审计 ) 面 板 在 以 下 一 组 选项 卡 中 提供 了 有 关 各 问题 的 详细 信息 : 
Summary (摘要 ) 
Details (详细 信息 ) 
Recommendations (建议 ) 
History (历史 记录 ) 
Diagram (网 示 ) 
Filter( 过 滤器 ) 

注意 : 通过 选择 Options( 选 项 )， 再 选择 Show View( 显 示 视图 ) 菜 单 可 显示 或 隐藏 Issue 
Auditing( 问 题 审计 ) 面 板 中 的 选项 卡 。 


Summary( 摘 要 ) 
如 图 8-39 所 示 ，Summary( 摘 要 ) 选 项 卡 显示 了 关于 当前 所 选 问 题 的 以 下 信息 。 
规则 信息 
类 别 
问题 ID 领域 


Tssue; Lsersery java:19 


a 
S El Race Condition: Singleton 


ar Field (Time and State, Structurhl) 
Analysis: ~ 
自 定义 标签 Seryt member felds may aliew one 
名 称 UEer to sse arather user data, 
值 
个 

[x] 四 | Click to append comment Mere miommaton ， 

Recommendzons 


废除 | 审计 员 注释 
报告 Bug 


图 8-39 Issue Auditing 面板 中 的 Summary 选项 卡 
表 8-5 描述 了 Summary( 摘 要 ) 面 板 中 的 各 个 选项 : 
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表 8-5 ”摘要 选项 
元 素 描述 
问题 显示 问题 的 位 置 ， 包 括 文件 名 和 行 号 


显示 审计 员 可 以 作为 问题 属性 添加 的 值 的 下 拉 列 表 。 例 如 ， 默 认 情况 下 ， 
“Analysis( 分 析 )” 标 签 提供 了 以 下 值 : 


-Not an issue( 不 是 问题 ) 
Custom Tags - Reliability issue( 可 靠 性 问题 ) 
( 自 定义 标签 ) 区 域 -Unlmown( 未 知 ) 

- Suspicious( 可 疑 ) 


注意 : 自 定 义 标签 即 项 目 设置 ， 可 选择 “Tools( 工 具 )， 再 选择 Project 
Configuration( 项 目 配置 )” 来 更 改 标签 值 
Suppress Issue( 废 除 问题 ) | 更 改 严重 级 别 以 废除 和 删除 导航 树 中 的 问题 


File Bug (报告 Bug) 是 供 访问 Bug 跟踪 系统 (如 Bugzilla) 的 途径 
Comments (注释 ) 向 注释 字段 中 追加 有 关 问 题 的 其 他 信息 
规则 信息 显示 用 于 描述 问题 的 信息 ， 如 所 属 类 别 和 领域 
更 多 信息 打开 Details( 详 细 信 息 ) 选 项 卡 


Recommendations( 建 议 ) 打开 Recommendations( 建 议 ) 选 项 卡 


Details( 详 细 信 息 ) 选 项 卡 提供 了 有 关 所 选 问 题 的 详细 说 明 ， 并 提供 了 用 于 解决 该 问题 的 
指导 方针 。 每 项 说 明 均 包括 表 8-6 中 所 述 的 部 分 或 全 部 栏目 。 


表 8-6_ 详 细 信息 面板 


元 素 描 述 
Abstract (概要 ) 对 问题 的 概要 描述 
关于 会 在 哪些 情况 下 发 生 此 类 问题 的 描述 ， 同 时 还 包括 该 漏洞 
Explanation (解释 ) 的 讨论 、 通 常 与 该 漏洞 相关 联 的 代码 结构 、 该 漏洞 的 利用 方 
式 以 及 潜在 的 衍生 攻击 类 型 
实例 ID 问题 的 唯一 识别 符 
规则 ID 标识 用 于 发 现 问题 的 主要 规则 


SCA Confidence(SCA 可 信 度 ) 
本 


-个 由 Fortify SCA 生成 的 衡量 指标 
最 大 化 选项 卡 
Recommendations (建议 ) 选 项 卡 包含 有 关 如 何 避 免 引 发 该 漏洞 或 修改 该 漏洞 方法 的 建议 
与 示例 ， 如 表 8-7 所 示 。 


表 8-7 建议 信息 


元 “ 素 描 述 
Recommendations( 建 议 ) | 关于 如 何 解决 问题 的 信息 
Tips (提示 ) 提供 普通 或 者 难以 审计 的 情况 的 示例 ,给 出 了 有 关 如 何 识别 特定 问题 的 提示 
References( 参 考 信 息 ) 参考 相关 信息 


最 大 化 选项 卡 
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History (历史 记录 ) 显 示 完 整 的 审计 操作 列表 ， 其 中 包括 以 下 详细 信息 : 日 期 和 时 间 、 执 
行 审计 的 计算 机 以 及 修正 该 问题 的 用 户 名 称 。 

如 图 8-40 所 示 ，Diagram( 图 示 ) 选 项 卡 形象 地 说 明了 在 Issues( 问 题 ) 面 板 上 所 选 问题 的 节 
点 执行 顺序 、 调 用 深度 以 及 表达 式 类 型 。 


BindSqlnjection java-03 (Cross-Site Scripting: Reflectad) 
BlindSalnjection createContent 


3 Retum values|0) ag 


= Assignment to accountNumber 上 


toStringlthis returm) 四 


图 8-40 SQL Injection 问题 数据 流 图 示 示 例 


Diagram( 图 示 ) 选 项 卡 显示 了 与 规则 类 型 相关 的 信息 ， 如 下 所 示 : 

数据 流 规则 : 纵 轴 显示 执行 顺序 。 跟 踪 会 从 顶部 第 一 个 调用 感染 源 的 函数 开始 ， 然 后 追 
踪 对 该 source( 蓝 色 节点 ) 的 调用 情况 ， 并 在 sink( 红 色 节 点 ) 处 结束 跟踪 。 在 图 示 中 ， 也 会 标记 
source(src) 和 sink 结 点 。 纵 轴 上 的 红 义 表示 这 个 被 调用 的 函数 已 结束 执行 。 

横 轴 显示 调用 深度 。 用 一 条 线 显示 控制 权 的 传递 方向 。 如 果 控 制 权 传 递 时 携带 被 感染 数 
据 的 变量 ， 则 该 线条 是 为 红色 ;， 如果 没有 被 感染 数据 ， 则 该 线条 为 黑色 。 

对 于 其 他 所 有 规则 : 纵 轴 显 示 执行 顺序 。 每 个 节点 的 表达 式 类 型 用 表 8-8 中 的 图 标 之 一 
表示 。 


表 8-8 ”图 示 图 标 


图 标 描述 
:二 数据 被 分 配 到 一 个 字段 或 变量 
信息 读 取 自 某 个 代码 的 外 部 数据 源 (如 HIML 格式 和 URL 等 ) 


@ 数据 被 分 配 到 一 个 全 局 字段 或 变量 
强 已 执行 比较 
A] 函数 调用 收 到 被 感染 的 数据 
4) 函数 调用 返回 被 感染 的 数据 
训 Pass-through， 被 感染 的 数据 在 函数 调用 中 从 一 个 参数 传递 到 另 一 个 参数 
村 为 某 个 内 存 位 置 创建 一 个 别名 
画 从 一 个 变量 读 取 数据 
画 从 一 个 全 局 变量 读 取 数 据 
| 从 一 个 函数 返回 被 感染 的 数据 
图 创建 一 个 指针 
贸 取消 一 个 指针 
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( 续 表 ) 


变量 范围 终止 
加 | 执行 跳跃 
| 在 代码 执行 中 引入 分 支 
代码 执行 中 未 引入 分 支 
常规 


Filter( 过 滤器 ) 
Filter( 过 滤器 ) 选 项 卡 显 示 了 所 选 过 滤器 组 中 的 所 有 过 滤器 ， 如 表 8-9 所 示 。 


表 8-9_ 过 滤器 选项 卡 中 的 选项 
选 项 描述 
列 出 所 选 过 滤器 组 中 所 配置 的 可 见 性 过 滤器 和 文件 夹 过 滤器 。 右 键 单 击 某 个 过 滤器 
可 显示 与 该 过 滤器 匹配 的 问题 ， 也 可 启用 或 禁用 该 过 滤器 
显示 过 滤器 条 件 。 
I 第 一 个 下 拉 列 表 列 出 了 问题 属性 , 第 二 个 下 拉 列 表 指 定 了 属性 的 匹配 方式 , 而 第 三 
个 列表 是 过 滤器 所 匹配 的 值 

Then 指示 过 滤器 的 类 型 ， 其 中 ，hide 表示 可 见 性 过 滤器 ，folder 表示 文件 夹 过 滤器 


8.7.2 ”Audit Workbench 特性 与 功能 


Filter 


1. 扫描 项 目 


1) 扫描 Java 项 目 
Scan Java Project( 扫 描 Java 项 目 ) 向 导 将 转换 阶段 和 分 析 阶 段 合 并 为 一 个 简单 步骤 。 使 用 
此 功能 可 扫描 那些 代码 位 于 单个 目录 中 的 小 型 Java 项 目 。 

扫描 新 的 Java 项 目 : 

a) 打开 Audit Workbench。 

系统 会 显示 开始 页 面 。 

b) 在 New Projects( 新 项 目 ) 中 ， 单 击 Scan Java Project( 扫 描 Java 项 目 )。 
系统 会 显示 Browse for Folder (浏览 文件 夹 ) 对 话 框 。 

c) 选择 包含 所 有 需要 分 析 的 源 代码 的 文件 夹 ， 然 后 单 击 OK( 确 定 )。 

注意 : Fortify SCA 将 Build ID 设 为 文件 夹 名 称 。 

系统 会 显示 AuditGuide Wizard (AuditGuide 向 导 )。 

d) 为 需要 审计 的 问题 类 型 选择 相关 设置 ， 然 后 单 击 Run Scan( 运 行 扫 描 )。 
如 果 Fortify SCA 在 扫描 源 代码 时 遇 到 任何 问题 ， 会 显示 Waming( 警 告 ) 对 话 框 。 

e) 单 击 OK (确定 ) 继 续 。 

Fortify SCA 会 分 析 源 代码 。 完 成 该 过 程 后 ，Audit Workbench 会 显示 FPR 文件 。 
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2) 扫描 其 他 项 目 
可 使 用 Advanced Scan( 高 级 扫描 ) 向 导 转 换 和 分 析 Java、JavaScript、PHP、ASP、NET 
和 SQL 项 目 。 如 果 Java 项 目的 源 代码 位 于 多 个 目录 中 、 具 有 特殊 转换 或 构建 条 件 或 包含 需 
要 从 项 目 中 排除 的 文件 ， 应 使 用 Advanced Scan( 高 级 扫描 ) 向 导 。 
扫描 新 项 目 : 
a) 打开 Audit Workbench。 
系统 会 显示 开始 页 面 。 
b) 在 New Projects( 新 项 目 ) 中 ， 单 击 Advanced Scan( 高 级 扫描 )。 
系统 会 显示 Browse for Folder( 浏 览 文件 夹 ) 对 话 框 。 
c) 选择 项 目 所 在 的 根 目录 ， 然 后 单 击 OK( 确 定 )。 
会 显示 Commandline Builder( 命 令 行 构建 器 ) 对 话 框 ， 如 图 8-41 所 示 。 该 向 导 会 自动 包含 
所 有 在 扫描 中 支持 的 文件 。 
a) 另外 ， 还 可 以 添加 其 他 目录 中 的 文件 : 
单 击 Add Directory( 添 加 目录 )。 
系统 会 显示 Browse to Folder( 浏 览 至 文件 夹 ) 对 话 框 。 
选择 包含 希望 添加 进行 扫描 的 文件 所 在 的 文件 夹 。 


单 击 OK( 确 定 )。 
[Bcommandine puser 0 
Specify Visual Studio Solution File: 
[1.\samplel\sample.sin Browse 
Specify Visual Studio Version: [2010 =] 
Spedify Builkd Configuration: [DEBUG 
specyBuidm:[sampel 


Specify Output File: 


| C:\sers\thurmon\AppData\L.ocaVFortfyVAWB-3.80\Sample Browse 
Enable Quick Scan Mode 


图 8-41 Commandline Builder 界面 


导航 面板 中 将 会 显示 该 目录 ， 并 会 自动 添加 所 有 受 支 持 的 文件 以 进行 扫描 。 要 删除 该 目 
录 ， 右 键 单 击 相应 的 文件 夹 ， 然 后 选择 Remove Root( 删 除根 )。 

b) 另外 ， 可 排除 文件 或 目录 ， 例 如 测试 源 代码 : 

选择 所 需 文件 或 目录 。 

右键 单 击 并 选择 Exclude( 排 除 )。 
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该 文件 夹 会 变 成 灰色 。 
c) 对 于 Java 项 目 ， 设 置 以 下 内 容 : 
选择 包含 类 文件 的 文件 夹 ， 然 后 单 击 Classpath Directory( 类 路 径 目 录 )。 


在 Fortify SCA 转 换 阶 段 ， 该 文件 夹 会 变 成 蓝 色 ， 且 文件 会 添加 到 类 路 径 中 。 

选择 项 目的 Java 版 本 。 

d) 输入 Build ID。 默 认 情 况 下 ，Build ID 为 根 目录 。 

6) 输入 Fortify SCA 在 分 析 阶 段 生成 的 FPR 的 路 径 和 文件 名 。 

f) 单 击 Next( 下 一 步 )。 

系统 会 显示 Commandline Builder (命令 行 构建 器 ) 对 话 框 ， 如 图 8-42 所 示 。 

要 跳 过 某 一 阶段 ， 请 取消 色 选 Enable Clean( 启 用 清除 )、Enable Translation( 启 用 转换 ) 或 
Enable Scan( 启 用 扫描 ) 复 选 框 。 

根据 需要 ， 修 改 每 个 Fortify SCA 阶段 的 命令 行 选项 : 

e@ ， Enable Clean( 启 用 清除 ): 删除 所 有 Fortify SCA 与 在 Select Source (选择 源 ) 对 话 框 中 
设置 的 Build ID 相关 联 的 中 间 文 件 和 内 部 版 本 记录 。 要 更 改 Build ID， 可 单 击 两 次 
Back( 返 回 ); 

Enable Translation( 启 用 转换 ): 创建 Fortify SCA 中 间 文 件 并 为 项 目 指 定 Build ID; 
Enable Scan( 启 用 扫描 ): 分 析 源 代码 并 创建 可 在 其 中 添加 审计 信息 的 FPR 文件 。 

另外 ， 还 可 单 击 Manage Rulepacks( 管 理 规则 包 ) 以 使 用 自 定义 规则 包 分 析 源 代码 ， 或 者 

禁用 某 个 安全 编码 规则 包 。 系 统 会 显示 审计 指南 向 导 ， 如 图 8-43 所 示 。 


和 Commandline Builder 
Stages of Fortify SCA Analysis: 
JEnable Clean 

-b "aval.5" -clean 

本 Enable Translation 

Ga 

”javal.5” 

Eee 


Wine-output" 
"C:\Program Files\Fortify Software\Fortify SCAVSamplesVadvancediaval.5" 
"-source” 

ey 


"C:\Program Files\Fortify Software\Fortify SCAV5amplesWAVA_15.fpr 
-Format 
“fpr” 


Run Scan Cancel 


图 8-42 ”Commandline Builder 界面 
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生 Commandtine Builder 


| How concerned about security are you? 

© Show me all ssues that may have security implications. 
© show me likely problems. 

| © show me only remotely explotable issues. 


| fam med about attacks that ca 9! attackers. This 
| mMignht be infiluenced by dat a for ca 要 


Are you concerned about code quality in addition to security? 

© show me al code quallty issues. 

© show me quality issues that may result in program instability. 

ONo, Idont want to see code quallty issues. 

1 am concerned about issues that may impact stability or make the code base more 


difficunt to maintain, 


Is this a ]2EE Web application? 


Does this program run with escalated privileges (i.e. administrator account, 
| root user, account with access to sensitive data, etc.)? 


Oves 
|Ow 


图 8-43 ”审计 指南 向 导 


多 为 希望 进行 审计 的 问题 类 型 选择 相关 参数 ， 然 后 单 击 Next (下 一 步 )。 

h) 单 击 Run Scan( 运 行 扫 描 )。 

如 果 Fortify SCA 在 扫描 源 代码 时 遇 到 任何 问题 ， 会 显示 Waming( 徊 告 ) 对 话 框 。 

i) 单 击 OK( 人 确定 ) 继 续 。 

Audit Workbench 会 显示 FPR 文件 。 

3) 重新 扫描 项 目 

a) 打开 FPR 文件 。 

b) 单 击 Scan( 扫 描 )。 

系统 会 显示 Rescan Build ID (重新 扫描 Build ID) 对 话 框 。 

(可 选 ) 单 击 Update Project Translation( 更 新 项 目 转换 ) 以 重新 转换 该 项 目 。 

(可 选 ) 修 改 Fortify SCA 扫描 阶段 的 命令 行 选项 。 

(可 选 ) 单 击 Manage Rulepacks( 管 理 规则 包 ) 可 更 改 用 来 分 析 该 项 目的 规则 包 。 

通过 选中 或 清除 复 选 框 来 添加 或 删除 规则 包 。 

要 使 用 未 列 出 的 自 定义 规则 包 , 单 击 Add Custom Rulepack (添加 自 定义 规则 包 ), 浏览 到 
规则 包 文 件 并 选中 ， 然 后 单 击 OK( 确 定 )。 

c) 单 击 Run Scan( 运 行 扫描 )。 

扫描 完成 后 ， 将 显示 FPR。 

d) 将 新 结果 与 之 前 FPR 中 的 问题 进行 比较 ， 如 下 所 示 : 

要 显示 所 有 新 问题 ， 单 击 All (全 部 ) 文 件 夹 选项 卡 ， 然 后 选择 Group by New Issue( 按 新 
问题 分 组 ) 选 项 。 
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要 显示 已 删除 的 问题 ， 单 击 All (全 部 ) 文 件 夹 选项 卡 ， 然 后 选择 Options( 选 项 ， 再 选择 

Show Removed Items( 显 示 删 除 项 )。 

要 检查 本 FPR 中 存在 的 、 先 前 扫描 所 找到 的 项 目 ， 单 击 All (全 部 ) 文 件 夹 选项 卡 ， 然 后 
展开 Existing Issues( 现 有 问题 ) 组 。 

4) 打开 项 目 

打开 FPR 文件 : 

a) 打开 Audit Workbench。 

b) 选择 File( 文 件 )， 再 选择 Open Project( 打 开 项 目 )。 

c) 系统 会 显示 Choose Project( 选 择 项 目 ) 窗 口 。 

d) 浏览 到 FPR 文件 并 选中 ， 然 后 单 击 Open( 打 开 )。 

如 果 FPR 格式 为 Fortify SCA 版 本 4.5.1 或 更 早 的 版 本 ， 则 会 自动 显示 Migration( 迁 移 ) 
向 导 。 和 否则 ，FPR 会 显示 在 Audit( 审 计 ) 透 视图 中 。 按 照 《Fortify SCA 迁移 指南 》 中 的 说 明 ， 
先 迁 移 问题 ID， 然 后 迁移 审计 数据 。 


2. 迁移 审计 信息 


Audit Workbench 版 本 5.0 改进 了 审计 数据 的 管理 方式 。 现 在 ， 已 在 用 户 界面 中 为 每 个 
项 目 基础 自 定义 并 配置 了 审计 数据 。 打 开 项 目 时 ,会 自动 显示 审计 数据 。 若 具有 自 定义 的 Audit 
Labels (审计 标签 ), 无 须 使 用 自 定义 审计 标签 信息 修改 Audit Workbench 和 Fortify Manager 配 
置 文件 。 每 个 项 目 都 可 具有 一 组 唯一 的 标签 。 

在 先前 的 版 本 中 ， 审 计 员 只 能 将 预 配置 的 信息 添加 到 问题 中 。 对 于 Audit Workbench 实 
例 而 言 ， 审 计 标 签 和 值 都 是 静态 的 、 本 地 使 用 的 。 自 定义 Audit Labels (审计 标签 ) 时 ， 需 要 用 
户 手动 编辑 Audit Workbench 的 配置 文件 。 此 外 ， 还 必须 使 用 相同 的 自 定义 审计 标签 和 值 来 
手动 重新 配置 每 个 AuditWorkbench 和 Fortify Manager 实例 。 

打开 版 本 4.5.1 或 更 早 版 本 的 FPR 文件 时 ， 会 自动 启动 Migration( 迁 移 ) 向 导 。 必 须 将 旧 
的 审计 数据 映射 到 新 的 Custom Tags( 自 定义 标签 ) 特 性 。Fortify Software 建议 先 创 建 版 本 5.0 
的 Custom Tags( 自 定义 标签 ) 和 Filter Sets( 过 滤器 组 )， 然 后 将 旧 的 审计 数据 映射 到 新 格式 。 

迁移 审计 信息 : 

1) 按照 上 一 节 的 说 明 ， 打 开 FPR 格式 版 本 4.5.1 或 更 早 版 本 。 

将 自动 保存 旧 的 FPR 备份 。 系 统 会 显示 Migration( 迁 移 ) 向 导 。 

2) 另外 ， 也 可 以 选择 一 个 迁移 模板 文件 。 

3) 单 击 Next( 下 一 步 )。 

4) 会 显示 Migrate Analysis Values (迁移 分 析 值 窗口， 如 图 8-44 所 示 。 

5) 将 旧 的 分 析 值 映射 到 新 值 。 

6) 另外 ， 也 可 以 选择 Filter Template( 过 滤器 模板 )。 注意 : 只 会 导入 分 析 标 签 的 值 。 要 使 
用 过 滤器 、 文 件 夹 及 其 他 设置 ， 请 在 迁移 审计 信息 之 后 重新 导入 模板 。 

7) 单 击 Next( 下 一 步 )。 
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Migration Wizard 


Migrate Analysis values 


In 5.0, by default we have a simplified set of five Analysis values. 
Define a mapping from 4.5 Analysis values: 


Old Value: New Value: 


Not an Issue Not an Issue 
Reliabilty Issue Reliabilty Issue 
Unknown Unknown 

Bad Practice Suspicious 
Suspicious Suspicious 
Dangerous Suspicious 
Exploitable Exploitable 
Explot Available Exploitable 


V]toad analysis values from fiter template: 


Ci\depot\main\goodies\Tutorial\java\audits\webgoat\ReD_Labels_Filters.xml 


图 8-44 迁移 分 析 值 窗口 
系统 会 显示 Migration Summary (迁移 摘要 ) 窗 口 ， 如 图 8-45 所 示 。 


Migration Wizard 


Migration Summary 


In 5.0, issues are dynamically assigned to folders based on filter queries. This 4.5 project contains issues that were statically 
assigned to folders by the auditor. 


These Folders will have the following numbers of issues dynamically reassigned; 
Hot: 

Warning: 

Info: 


These issues will be marked with migration comments, To search For these issues, enter "commentuser:migrated" in the search 
box, 


Save migration settings' 


C:\Program Files\Fortify Software\Fortify SCA\Core\config\migration-settings 


图 8-45 迁移 摘要 窗口 
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BE 


Do 
| 
世 


击 Finish( 完 成 )。 


8.7.3 配置 /设置 项 目 参数 


1. 理解 项 目 配置 和 过 滤器 组 


Fortify SCA 使 用 安全 编码 规则 包 和 自 定义 规则 包 来 分 析 源 代码 , 确定 其 中 是 否 包 含 任何 安 
全 漏洞 或 不 安全 的 编程 方式 。Fortify SCA 会 识别 每 个 潜在 的 漏洞 ， 并 将 其 视 为 一 个 问题 。 然 后 
Fortify SCA 会 创建 一 个 FPR 文件 ， 其 中 包含 关于 该 项 目 中 存在 的 全 部 问题 的 详细 信息 ， 包 括 
源 代码 片段 和 位 置 的 详情 (如 文件 名 、 包 和 类 )。 一 个 FPR 文件 可 能 包含 许多 问题 。 
过 滤器 组 可 控制 Audit Workbench 如 何 显 示 这 些 问 题 ， 而 且 人 允许 用 户 自 定义 以 下 项 目 设置 ; 

Folders (文件 夹 )， 即 Issues (问题 ) 面 板 上 的 选项 卡 : 

e 显示 的 文件 夹 (选项 卡 ) 数 量 

。 每 个 文件 夹 的 名 称 和 属性 

Custom Tags ( 自 定义 标签 )， 即 Issue Summary (问题 摘要 ) 选 项 卡 上 的 审计 标签 : 

e 可 用 审计 字段 的 数量 

。 每 个 字段 的 名 称 和 值 

每 个 过 滤器 组 的 过 滤器 : 

。 Visibility Filters( 可 见 性 过 滤器 )， 可 隐藏 问题 

@ Folder Filters( 文 件 夹 过 滤器 ), 可 将 问题 分 类 整理 到 Issues( 问 题 ) 面 板 上 的 各 个 文件 

夹 中 

注意 : 版 本 4.5 及 更 低 版 本 中 的 Analysis and status (分 析 和 状态 ) 等 审计 标签 已 经 蔡 换 为 
Custom Tags( 自 定义 标签 )。 

2. 保存 项 目 配置 参数 

要 保存 项 目 配置 参数 ， 请 选择 Fortify Software 一 Save Audit Project (保存 审计 项 目 )。 

3. 管理 文件 夹 

Issues( 问 题 ) 面 板 上 的 选项 卡 称 为 “文件 夹 ”。 可 为 每 个 项 目 自 定义 文件 夹 。 文 件 夹 在 该 
项 目 内 有 效 ， 可 供 该 项 目 中 每 个 过 滤器 组 使 用 。 在 一 个 项 目 中 ， 不 同 的 过 滤器 组 之 间 的 文件 
夹 属性 可 能 会 有 所 不 同 。 

新 建文 件 夹 步 骤 : 

1) 选择 Fortify Software Project Configuration(G 项 目 配置 )。 屏 幕 中 将 显示 Project Configuration 
(项 目 配置 ) 对 话 框 。 

2) 单 击 Folder( 文 件 夹 ) 选 项 卡 。 

3) 从 Folders for Filter Set (过 滤器 组 的 文件 夹 ) 中 ， 选 择 下 列 选项 之 一 : 

e@ All Folders (所 有 文件 夹 )， 创 建 可 在 每 个 过 滤器 组 中 显示 的 文件 夹 ; 

e 一 个 过 滤器 组 ， 创 建 的 文件 夹 只 能 在 所 选 过 滤器 组 中 显示 。 

4) 添加 文件 夹 : 

a) 单 击 Folders (文件 夹 ) 旁 的 (加 号 )。 
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屏幕 上 将 显示 Create a New Folder( 新 建文 件 夹 ) 对 话 框 。 

b) 为 新 文件 夹 输入 一 个 名 称 , 然后 单 击 OK( 确 定 ), 该 文件 夹 将 显示 在 文件 夹 列表 的 底部 。 

(可 选 操作 ) 向 上 或 向 下 拖 动 该 文件 夹 ， 以 改变 该 选项 卡 在 Issue( 问 题 ) 面 板 上 的 位 置 ， 在 
面板 中 会 按照 从 左 到 右 的 顺序 排列 。 

(可 选 操作 ) 选 择 Default( 默 认 ) 将 所 有 与 文件 夹 过 滤器 不 符 的 问题 放 到 此 文件 夹 中 。 

单 击 OK( 人 确定 )。 

该 文件 夹 会 在 Issue( 问 题 ) 面 板 上 显示 为 一 个 选项 卡 。 如 果 选 择 了 Default( 默 认 )， 会 显示 
所 有 与 文件 夹 过 滤器 不 符 的 问题 。 

注意 : 要 将 问题 导入 此 文件 夹 ， 请 添加 一 个 以 新 文件 夹 作为 目标 文件 夹 过 滤器 。 

添加 文件 夹 步 又 : 

1) 选择 Fortify Software 一 Project Configuration( 项 目 配置 )。 

屏幕 中 将 显示 Project Configuration (项 目 配置 ) 对 话 框 。 

2) 单 击 Folder( 文 件 夹 ) 选 项 卡 。 

3) 从 Folders for Filter Set( 过 滤器 组 的 文件 夹 ) 中 ， 选 择 要 添加 该 过 滤器 的 过 滤器 组 。 

注意 : 选择 All Folders( 所 有 文件 夹 ) 选 项 ， 创 建 的 文件 夹 可 在 每 个 过 滤器 组 中 显示 。 

4) 单 击 Folders( 文 件 夹 ) 旁 的 +( 加 号 )。 

如 果 此 过 滤器 组 中 有 尚未 显示 的 文件 夹 ， 则 屏幕 上 将 显示 Add a new Folder to the Filter 
Set( 向 过 滤器 组 中 添加 新 文件 夹 ) 窗 口 。 

5) 选择 要 添加 的 文件 来， 然后 单 击 Select( 选 择 )。 

该 文件 夹 会 显示 在 文件 夹 列表 中 。 

6) 单 击 OK( 确 定 )。 

该 文件 夹 会 显示 在 Issue( 问 题 ) 面 板 中 ， 而 且 会 选中 修改 过 的 过 滤器 组 。 

重 命 名 文件 夹 步 又 : 

1) 选择 Fortify Software 一 Project Configuration( 项 目 配置 )。 屏 莫 中 将 显示 Project Configuration 
(项 目 配 置 ) 对 话 框 。 

2) 单 击 Folder( 文 件 夹 ) 选 项 卡 。 

3) 在 列表 中 选择 该 文件 来。 屏幕 上 将 显示 该 文件 夹 的 属性 。 

4) 为 该 文件 夹 输入 一 个 新 名 称 。 在 列表 中 ， 该 文件 夹 的 名 称 会 随 着 键入 而 改变 。 

5) 单 击 OK( 确 定 )。 

在 Issue( 问 题 ) 面 板 的 选项 卡 上 ， 该 文件 夹 的 名 称 也 会 随 之 改变 。 

删除 文件 夹 步 又 : 

1) 选择 Fortify Software 一 Project Configuration( 项 目 配置 )。 

屏幕 中 将 显示 Project Configuration( 项 目 配置 ) 对 话 框 。 

2) 单 击 Folder( 文 件 夹 ) 选 项 卡 。 

3) 从 Folders forFilter Set (过 滤器 组 的 文件 夹 ) 中 ， 选 择 下 列 选项 之 一 : 

ee All Folders (所 有 文件 夹 )， 将 文件 夹 从 所 有 过 滤器 组 中 删除 。 如 果 此 文件 夹 是 某 个 文 

件 夹 过 滤器 的 目标 ， 则 该 删除 文件 夹 的 选项 会 处 于 隐藏 状态 。 
e 一 个 过 滤器 组 ， 仅 将 该 文件 夹 从 所 选 过 滤器 组 删除 。 文 件 夹 列 表 会 显示 所 选 过 滤器 
组 中 的 文件 夹 。 
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4) 选择 该 文件 夹 ， 然 后 单 击 Folders (文件 夹 ) 旁 的 - ( 减 号 )。 

如 果 该 文件 夹 是 某 个 文件 夹 过 滤器 的 目标 , 则 屏幕 上 将 显示 Conflicts Occurred Removing 
a Folder( 删 除 文件 夹 时 出 现 冲 突 ) 窗 口 。 

5) 根据 需要 重新 设置 文件 夹 过 滤器 的 目标 或 删除 该 文件 夹 过 滤器 。 

该 文件 夹 便 会 从 文件 夹 列表 中 消失 。 

6) 单 击 OK( 确 定 )。 

该 文件 夹 将 不 再 在 Issue( 问 题 ) 面 板 上 显示 为 选项 卡 。 


8.7.4 审计 分 析 结 果 


1. 使 用 Eclipse 导航 和 编辑 特性 

Audit Workbench 提供 了 源 代码 导航 和 编辑 特性 , 这 些 特 性 的 操作 方式 与 Eclipse 相同 。 

可 通过 以 下 方式 访问 这 些 特性 : 

e ”Source( 源 ) 菜 单 ， 提 供 源 代码 的 编辑 和 格式 化 工具 ，; 

e@ ”Search( 搜 索 ) 菜 单 ， 提 供 关 键 字 搜索 及 代码 导航 工具 ; 

e@ ”Options( 选 项 ) 菜 单 中 的 Preferences( 首 选项 ) 选 项 ， 允 许 自 定义 窗口 和 编辑 器 的 显示 

方式 。 

2. 自 定义 问题 视图 

如 图 8-46 所 示 ， 可 以 从 Options 一 Interface Preferences( 选 项 一 界面 首选 项 ) 菜 单 中 设置 以 
下 选项 ， 以 自 定义 Issues( 问 题 ) 视 图 : 


Interface Preferences 
Rulepack Management Tssue Rendering Preferences 
Interface Preferences Show Suppressed Issues 
Show Removed Issues 
Show Hidden Issues 
Collapse Issues 
Use Short File Names 
Show Category of Issue 


Issue Summary Preferences 
¥] Show Abstract in Issue Summary 
回 5how Comments in Issue Summary 


Show 'All Folder in Issue Summary Graph 
Right justify Al folder 
Display name in folder tabs 


Reset Interface 


tnarott mre crt es 00s [区 ] 


图 8-46 界面 首选 项 窗口 
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e@ ”Show Entry Points (显示 入 口 点 ): 显示 用 户 输入 进入 程序 的 所 有 位 置 ; 

ee Show Suppressed Items (显示 废除 项 ): 显示 已 废除 的 所 有 项 。 默 认 情 况 下， 会 禁用 该 
选项 ; 

@ Show Removed Items (显示 删除 项 ): 如 果 已 经 执行 了 Import New SCA Analysis( 导 入 
新 SCA 分 析 )， 则 会 显示 自 上 次 分 析 以 来 已 删除 的 所 有 项 ; 

e@ Use Short Filenames( 使 用 短文 件 名 ): 仅 通过 文件 名 而 非 相对 路 径 来 参照 Issues( 问 题 ) 
视图 中 的 问题 。 默 认 情 况 下 ， 已 启用 该 选项 ; 

e@ ShowView( 显 示 视 图 ): 允许 显示 Analysis Trace( 分 析 跟 踪 ) 、Issues( 问 题 ) 以 及 
Summary( 总 结 ) 面 板 。 它 还 提供 了 Other( 其 他 ) 选 项 , 其 中 包含 标准 的 Eclipse 导航 特性 。 


3. 合并 多 个 审计 员 的 审计 结果 


Audit Workbench 允许 多 个 审计 员 审 计 某 个 相同 代码 的 各 个 部 分 ， 然 后 合并 审计 结果 。 
要 这 样 做 ， 请 选择 Tools( 工 具 )， 再 选择 Merge Audits( 合 并 审计 )， 然 后 导航 到 审计 项 目 文件 
(pn (其 中 包含 要 合并 到 当前 项 目 中 的 审计 后 的 问题 )。 

注意 : 仍 需 要 进行 外 部 协调 ， 以 确保 不 同 的 问题 组 都 经 过 了 审计 。 如 果 对 相同 的 问题 进 
行 了 两 次 审计 ，Audit Workbench 会 发 出 警告 ， 并 允许 执行 以 下 其 中 一 项 操作 : 

1) 取消 合并 (未 做 更 改 )。 

2) 对 于 有 冲突 的 问题 ， 使 用 当前 审计 员 的 更 改 。 

4 创建 自 定义 清除 规则 


Audit Workbench 允许 为 特定 的 函数 创建 自 定义 清除 规则 。 
创建 清除 规则 : 
1) 右键 单 击 函数 ， 打 开关 联 菜单 。 
2) 选择 Write a Rule for This Function( 为 该 函数 编写 规则 )， 打 开 Custom Rules( 自 定义 规 
则 ) 向 导 。 
3) 选择 Generic Validation Rule( 一 般 验 证 规则 )。 
屏幕 将 显示 Select Language( 选 择 语言 ) 窗 口 。 
4) 选择 源 代码 的 语言 ， 然 后 单 击 Next( 下 一 步 )。 
5) 屏幕 将 显示 Function Information (函数 信息 ) 窗 口 。 
6) 系统 会 自动 植 入 所 选 函 数 的 包 、 类 和 函数 名 。 
7) 验证 信息 是 否 正确 ， 然 后 单 击 Next( 下 一 步 )。 
屏幕 将 显示 Function Argument (函数 参数 ) 窗 口 。 
8) 选择 要 清除 的 参数 ， 然 后 单 击 Next( 下 一 步 )。 
屏幕 将 显示 Custom Rulepack Selection ( 自 定义 规则 包 选 择 ) 窗 口 。 
9) 选择 要 在 其 中 添加 规则 的 规则 包 。 
10) 单 击 OK( 确 定 )。 


5. 从 新 的 分 析 结 果 文件 中 更 新 
如 果 对 某 个 分 析 结果 文件 执行 了 审计 ， 随 后 对 源 文 件 重新 运行 扫描 ， 则 可 以 用 新 分 析 结 
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果 文 件 中 的 结果 来 更 新 利用 旧 分 析 结果 文件 创建 的 审计 项 目 文件 ， 且 不 会 丢失 先前 输入 的 审 
计 信 息 。 

利用 新 的 扫描 而 创建 的 分 析 结果 来 更 新 审计 项 目 文件 : 

1) 打开 旧 的 审计 项 目 文件 。 

2) 选择 Tools( 工 具 )， 再 选择 Import New SCA Analysis (导入 新 的 SCA 分析)。 屏 幕 将 显 
示 Choose SCA Analysis File( 选 择 SCA 分 析 文 件 ) 窗 口 。 

3) 选择 新 的 分 析 结 果 文件 。 

4) 选择 File( 文 件 ， 再 选择 Save As( 另 存 为 )， 然 后 将 新 的 分 析 结果 文件 另存 为 新 的 审计 项 
目 文件 。 

也 可 以 使 用 updatefprjar 命令 行 工具 (可 在 不 启动 Audit Workbench 的 情况 下 执行 更 新 )， 
利用 新 的 分 析 结 果 文 件 更 新 审计 项 目 文件 。 

updatefprjar 命令 行 工具 位 于 以 下 目录 中 : 

<install_directory>/Tools/updatefpr 

使 用 语法 如 下 : 

java -jar updatefpr.jar <new>.fvdl old.fpr <new>.fpr 

通常 ， 会 将 审计 数据 从 旧 的 扫描 复制 到 新 的 扫描 中 ， 方 法 是 使 这 两 次 扫描 中 的 漏洞 实例 
ID 相 匹 配 。 

不 过 ， 由 于 分 析 引 擎 中 发 生 更 改 ， 对 于 同一 种 逻辑 漏洞 ，Fortify SCA 4.5 实例 ID 可 能 不 
同 于 FortifySCA 4.0 实例 ID， 从 而 导致 某 些 审计 数据 的 丢失 。 

对 于 同一 版 本 的 代码 基数 ， migrate_audit_data 可 将 审计 数据 从 Fortify SCA 4.0FPR 迁 
移 到 Fortify SCA 4.5 FPR。 即 使 实例 ID 各 不 相同 ， 它 也 会 查看 漏洞 结构 以 确定 两 种 漏洞 是 
和 否 相同 。 

以 下 目录 包含 migrate_audit_data 和 README.txt 文件 (说 明 该 工具 的 用 法 ): 

<installation_directory>/Tools/migrate audit data 


6. 导航 并 查看 分 析 结 果 


在 打开 一 个 用 来 查看 Fortify SCA 所 检测 到 的 问题 的 AuditWorkbench 项 目 后 ,可 在 Summary 
(摘要 ) 面 板 中 审计 这 些 问 题 ， 以 反映 这 些 问 题 的 严重 级 别 ， 以 及 对 该 问题 执行 的 安全 分 析 

系统 会 按 审计 结果 的 严重 性 以 及 准确 性 ， 对 审计 结果 进行 分 组 ， 并 在 默认 情况 下 将 问题 
识别 为 位 于 Issues( 问 题 ) 面 板 中 的 Hot( 严 重 ) 列 表 内 。 单 击 Waming( 管 告 ) 和 Info( 信 息 )， 查 看 
分 组 在 这 些 列表 中 的 问题 。 

每 个 列表 中 的 问题 数量 显示 在 相关 按钮 下 面 。 

要 检验 与 Issues( 问 题 ) 面 板 中 所 列 问题 相关 的 代码 ， 选 中 该 问题 。 源 代码 部 分 包含 显示 
在 源 代码 查看 器 面板 中 的 问题 ， 并 在 面板 的 标题 中 显示 文件 所 包含 问题 的 名 称 。 
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8.7.5 生成 报告 


1. 打开 报告 模板 

1) 在 Audit Workbench 工具 栏 中 单 击 Reports (报告 )。 系 统 会 显示 Generate Reports( 生 成 
报告 ) 窗 口 。 

2) 从 Report( 报 告 ) 的 下 拉 列 表 中 选择 报告 模板 。Generate Report( 生 成 报告 ) 窗 口中 会 显示 
报告 模板 设置 。 

2. 运行 报告 

选择 所 需 报告 模板 和 报告 设置 后 ， 即 可 生成 报告 以 查看 其 结果 。 可 将 报告 结果 另存 为 
PDF、RTF 和 XML 文件 。 

1) 在 Audit Workbench 工具 栏 中 单 击 Reports( 报 告 )。 

系统 会 显示 Generate Reports( 生 成 报告 ) 窗 口 。 

2) 从 Report( 报 告 ) 下 拉 菜 单 中 选择 报告 模板 。 

3) 另外 ， 还 可 更 改 报告 一 节 的 设置 。 

4) 单 击 Print Report( 打 印 报告 )。 

会 显示 保存 报告 的 对 话 框 。 

5) 指定 文件 名 称 和 保存 报告 的 位 置 。 

6) 选择 报告 的 文件 类 型 。 提 供 的 选项 有 PDF、RTF 或 XML。 

7) 单 击 Save( 保 存 )。 

已 生成 报告 并 另存 为 一 个 文件 。 

3. 使 用 报告 模板 

首次 安装 Fortify 产品 后 ， 下 拉 列 表 中 会 显示 Fortify 报告 模板 。 如 果 用 户 已 经 编辑 或 创 
建 了 其 他 默认 报告 模板 ， 可 能 无 法 查看 上 述 默认 报告 模板 。 
Fortify 报告 模板 包括 : 

Fortify 安全 报告 : 一 种 中 级 报告 ， 可 提供 有 关 所 执行 分 析 的 综合 信息 以 及 所 执行 审计 的 
高 级 详细 信息 。 还 可 为 优先 级 最 高 的 类 别提 供 高 级 说 明和 示例 。 

Fortify 开发 人 员工 作 手 册 : 一 份 综合 列表 ， 其 中 列 出 了 已 找到 的 所 有 问题 类 型 ， 并 为 每 
种 问题 列举 了 多 个 示例 。 它 还 为 每 种 类 别 的 问题 数目 提供 了 高 级 汇总 信息 。 

可 选择 要 包含 在 报告 中 的 各 个 小 节 ， 还 可 以 编辑 各 小 节 显示 的 内 容 。 

选择 要 包含 在 报告 中 的 各 个 小 节 : 

1) 在 左 侧 列表 中 色 选 每 个 小 节 标 题 的 复 选 框 ， 即 可 将 其 包含 在 报告 中 。 

2) 单 击 小 节 标 题 可 突出 显示 该 标题 。 

窗口 的 右 侧 会 显示 小 节 的 详细 信息 。 

要 从 报告 中 删除 某 个 小 节 ， 取 消 匀 选 小 节 标题 旁 的 复 选 框 即 可 。 

选择 小 节 标 题 后 ， 便 可 以 编辑 在 报告 中 显示 的 内 容 。 可 以 编辑 文本 、 添 加 或 更 改 文本 变 
量 ， 还 可 自 定义 图 标 或 结果 列表 中 显示 的 问题 。 
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其 中 包括 : 

。 编辑 文本 子 小 节 

。 编辑 结果 列表 子 小 节 
。 编辑 图 表 子 小 节 
编辑 文本 子 小 节 : 


软件 安全 测试 及 工具 应 用 


1) 勾 选 所 需 子 小 节 标 题 旁边 的 复 选 框 , 即 可 将 该 文本 包含 在 报告 中 。 子 小 节 标题 下 方 会 


显示 对 文本 的 说 明 。 


2) 单 击 Edit Text( 编 辑 文本 )。 文 本 框 中 会 显示 即将 会 包含 在 报告 中 的 文本 和 变量 。 
3) 根据 需要 编辑 文本 和 文本 变量 。 
编辑 文本 子 小 节 后 ， 可 以 插入 在 运行 报告 时 定义 的 变量 ， 如 表 8-10 所 示 。 


变 量 
$AUDIT GUIDE SUMMARYS 
SCLASSPATH LISTINGS 
SCOMMANDLINE ARGSS 


SFILE_ LISTINGY 


SFILTERSET DETAILS4 
SFILTERSET NAMES 
$FORTIFY SCA_VERSIONS 
S$LIBDIR_LISTINGS 

SLOCS 
SNUMBER OF FILESS 
$PROJECT BUILD LABELS 
$PROJECT NAMES 
$PROPERTIESY 

$RESULTS_ CERTIFICATIONS 
$RESULTS_CERTIFICATION_ 
SUMMARYS 


表 8-10 文本 变量 
描述 

列 出 通过 回答 Audit Guide (审计 指南 ) 的 问题 所 创建 的 过 滤器 
扫描 过 程 中 使 用 的 JAR 文件 ， 每 行 一 个 相对 路 径 
命令 行 参数 的 完整 列表 (其 格式 与 项 目 汇总 的 格式 相同 ) 
己 扫描 文件 的 列表 ， 每 个 文件 的 格式 为 <relative filepath> # Lines # kb 
<timestamp> 
+ 滤器 组 正在 使 用 的 过 滤器 列表 
当前 过 滤器 组 的 名 称 
Fortify SCA 版 本 
扫描 过 程 中 指定 的 libdirs， 每 行 一 个 相对 路 径 
代码 总 行 数 
已 扫描 的 文件 总 数 
项 目的 内 部 版 本 标签 
Build ID 
分 析 阶 段 设置 的 属性 的 完整 列表 (其 格式 与 项 目 汇总 的 格式 相同 ) 
带 有 每 个 文件 的 有 效 性 列表 的 完整 认证 详情 (请 参见 项 目 汇总 ) 


用 于 描述 认证 的 短 句 (其 格式 与 项 目 汇总 的 格式 相同 ) 


S$RULEPACKSS 分 析 过 程 中 使 用 的 规则 包 的 完整 列表 (其 格式 与 项 目 汇总 的 格式 相同 ) 
$SCAN COMPUTER IDY 执行 扫描 操作 的 计算 机 主机 名 

SSCAN DATES 使 用 语言 环境 的 默认 格式 化 类 型 进行 的 分 析 的 日 期 

S$SCAN SUMMARYS 已 扫描 代码 库 的 汇总 格式 为 # fles， #lines of code 

SSCAN TIMES 分 析 阶 段 所 用 的 时 间 

SSCAN USERS 执行 扫描 的 用 户 名 

SSOURCE BASE PATHS 代码 库 的 源 库 路 径 


S$TOTAL FINDINGSS 


找到 的 问题 总 数 ， 不 包括 已 废除 或 删除 的 问题 


S$WARNINGSS 


已 出 现 的 警告 的 完整 列表 (其 格式 与 项 目 汇总 的 格式 相同 ) 


S$WARNING SUMMARYS 


扫描 过 程 中 发 现 的 警告 次 数 
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编辑 结果 列表 子 小 节 : 

1) 色 选 所 需 子 小 节 标题 旁 的 复 选 框 , 即 可 将 该 文本 包含 在 报告 中 。 子 小 节 标题 下 方 会 显 
示 对 结果 列表 的 说 明 。 

2) 单 击 列 有 标题 的 问题 可 展开 各 个 选项 。 

3) 选择 将 按 其 对 结果 列表 进行 分 组 的 各 种 属性 。 如 果 选 择 按 类 别 进行 分 组 , 上 
建议 、 摘 要 和 解释 也 会 包含 在 报告 中 。 

多 可 以 使 用 搜索 功能 细 化 该 子 小 节 中 显示 的 各 种 问题 。 查询 内 容 会 显示 在 Subsection( 子 
小 节 ) 字 段 的 Refine Issues ( 细 化 问题 ) 中 。 

5) 勾 选 或 清除 各 组 复 选 框 中 的 Limit number ofIssues( 有 限 数量 的 问题 )。 

6) 如 果 勾 选 了 该 复 选 框 ， 请 键入 每 个 组 中 显示 的 问题 数量 。 

编辑 图 表 子 小 节 : 

1) 勾 选 所 需 子 小 节 标 题 旁 的 复 选 框 , 即 可 将 该 文本 包含 在 报告 中 。 子 小 节 标 题 下 方 会 显 
示 对 图 表 的 说 明 。 

2) 选择 按 其 对 图 表 进 行 分 组 的 各 种 属性 。 

3) 可 使 用 搜索 功能 细 化 该 子 小 节 中 显示 的 各 种 问题 。 

查询 内 容 会 显示 在 Subsection( 子 小 节 ) 字 段 的 Refine Issues( 细 化 问题 ) 中 。 

4) 选择 图 表 类 型 。 图 表 类 型 包括 表格 、 直 方 图 和 饼 图 。 

4. 保存 报告 模板 

可 将 当前 报告 设置 另存 为 新 的 模板 ， 以 便 日 后 选择 该 模板 运行 更 多 报告 。 

将 设置 另存 为 报告 模板 : 

1) 在 Audit Workbench 工具 栏 中 单 击 Reports( 报 告 )。 

系统 会 显示 Generate Reports( 生 成 报告 ) 窗 口 。 

2) 从 Report( 报 告 ) 下 拉 菜 单 中 选择 该 报告 模板 。 

3) 更 改 报 告 小 节 和 子 小 节 的 设置 。 

4) 单 击 Save as New Template( 另 存 为 新 模板 )。 

即 可 保存 为 新 的 报告 模板 。 当 从 报告 下 拉 菜 单 中 选择 该 报告 模板 的 名 称 时 ， 该 模板 的 报 
告 设置 便 会 显示 在 Generate Report( 生 成 报告 ) 窗 口中 。 

5. 保存 对 报告 模板 的 更 改 

可 以 保存 对 报告 模板 的 更 改 ， 这 样 ， 当 前 的 新 设置 即 会 显示 为 默认 设置 。 

将 某 个 报告 模板 另存 为 默认 的 报告 模板 : 

1) 在 Audit Workbench 工具 栏 中 单 击 Reports( 报 告 )。 系 统 会 显示 Generate Reports( 生 成 
报告 ) 窗 口 。 

2) 从 Report( 报 告 ) 下 拉 菜单 中 选择 要 另存 为 默认 报告 模板 的 模板 。 

3) 另外 ， 还 可 以 更 改 报告 小 节 和 子 小 节 的 设置 。 

4) 单 击 Save Settings as Default( 另 存 为 默认 设置 )。 

下 次 打开 Generate Reports( 生 成 报告 ) 窗 口 时 ， 窗 口中 即 会 显示 该 报告 模板 的 设置 。 该 报 
告 模板 的 名 称 显示 在 Report( 报 告 ) 下 拉 菜 单 的 顶端 。 


于 类 别 的 
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6. 编辑 报告 模板 XML 文件 


报告 模板 会 另存 为 XML 文件 。 可 以 编辑 这 些 XML 文件 ， 以 做 出 更 改 或 创建 新 的 报告 模 
板 文件 。 编 辑 XML 文件 时 ， 可 以 选择 要 包含 在 报告 模板 中 的 各 个 小 节 和 每 个 小 节 的 内 容 。 
报告 模板 XML 文件 的 默认 位 置 为 : 
<install_directory>/Core/config/reports 
通过 在 该 目录 中 指定 路 径 或 更 改 headerpng 和 footerpng, 还 可 以 自 定义 报告 中 使 用 的 标 
识 语 。 
可 通过 编辑 XML 文件 来 添加 报告 小 节 。 在 XML 的 结构 中 ，ReportSection 标签 可 定义 
一 个 新 的 小 节 。 在 定义 的 新 小 节 中 ，Tite 标签 定义 了 小 节 名 称 ， 其 中 必须 至 少 包 括 一 个 
Subsection 标签 ， 用 于 在 报告 中 定义 该 小 节 的 内 容 。 以 下 是 Fortify 安全 报告 中 Results Outline 
小 节 的 XML 代码 : 
<ReportSection enabled="false” optionalSubsections= tme' > 
<Title>Results Outline</Title> 
<SubSection enabled=“true’> 
<Title>Overall number of results</Title> 
<Description>Results count</Description> 
<Text>The scan found STOTAL FINDINGSS issues.</Text> 
</SubSection> 
<SubSection enabled=“true’> 
<Title>Vulnerability Examples by Category</Title> 
<Description>Results summary of the highest severity issues. 
Vulnerability examples are provided by category.</Description> 
<IssueListing limit="1” listine="true”> 
<Refinement>severity:(3.0，5.0] confidence:[4.0，5.0]</ 
Refinement> 
<Chart chartType="list' > 
<Axis>Category</Axis> 


在 上 述 示例 中 ,Results Outline 小 节 包 含 两 个 子 小 节 。 第 一 个 子 小 节 是 名 为 Overall number 
ofresults 的 文本 子 小 节 。 第 二 个 子 小 节 是 名 为 Vulnerability Examples by Category 的 结果 列表 。 
一 个 小 节 的 内 容 可 包含 任何 子 小 节 的 组 合 。 

添加 报告 子 小 节 : 

1) 添加 文本 子 小 节 

在 文本 子 小 节 中 ， 可 包含 Title 标签 、Description 标签 和 Text 标签 。 在 Text 标签 中 ， 方 
便 用 户 可 以 在 生成 报告 之 前 编辑 其 中 的 内 容 ， 当 然 仍 可 以 提供 默认 内 容 。 以 下 是 Results 
Outline 小 节 中 Overall number ofresults 子 小 节 的 XML 代码 : 


<SubSection enabled="true"> 
<Title>Overall number of results</Title> 
<Description>Results count</Description> 
<Text>The scan found $STOTAL FINDINGSS issues.</Text> 
</SubSection> 
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在 上 述 示例 中 ， 该 文本 子 小 节 的 标题 为 Overall number of results。 用 于 介绍 该 文本 用 途 
的 说 明文 字 为 Results count。 用 户 可 在 运行 报告 之 前 编辑 text 字段 中 的 文字 ， 该 内 容 使 用 了 
一 个 名 为 STOTAL FINDINGSS 的 变量 。 

2) 添加 结果 列表 子 小 节 

在 结果 列表 子 小 节 中 , 可 以 包含 Title 标签 ,Description 标签 和 IssueListng 标 签 .在 IssueListing 
标签 中 ， 可 以 定义 limit 的 默认 内 容 ， 并 将 listing 设 为 tue。 即 便 用 户 可 以 在 生成 报告 之 前 编 
辑 Refinement 标签 的 内 容 ， 仍 可 以 在 报告 中 包含 带 有 默认 语句 或 不 带 默认 语句 的 标签 。 要 生 
成 结果 列表 , 需 将 Chart 标签 的 chartType 属性 设 为 list。 还 可 以 定义 Axis 标签 ,以 下 是 Results 
Outline 小 节 中 Vulnerabilities Examples by Category 子 小 节 的 XML 代码 : 


<SubSection enabled="true"> 
<Title>Vulnerability Examples by Category</Title> 
<Description>Results summary of the highest severity issues.Vulnerability examples are 
provided by category.</Description> 
ssueListing limit="1" listing="true"> 
<Refinementf>severity:(3.0，5.0] confidence:[4.0，5.0]</Refinement> 
<Chart chartType="list'> 
<Axis>Category</Axis> 
</Chart> 
</IssueListing> 
</SubSection> 
在 上 述 示例 中 ,结果 列表 子 小 节 的 标题 为 Vulnerability Examples by Category。 用 于 介绍 
该 文本 用 途 的 说 明文 字 为 Results summary of the highest severity issues。 Vulnerability examples 
are provided by category。 该 子 小 节 将 会 为 每 种 包含 符合 severity:[3.0,5.0] confidence:[4.0, 5.0] 
( 即 Refinement 标签 的 值 ) 语 句 的 问题 类 别 ( 即 Axis 标签 的 值 ) 列 出 (isting=tue) 一 个 问题 (limit="1")。 
3) 添加 图 表 子 小 节 
在 图 表 子 小 节 中 ， 可 以 包含 Title 标 签 、Description 标 签 和 IssueListing 标 签 。 在 IssueListing 
标签 中 ， 可 定义 limit 的 默认 内 容 ， 并 将 listing 设 为 false。 即 便 用 户 可 以 在 生成 报告 之 前 编辑 
Refinement 标 签 的 内 容 ， 仍 可 以 在 报告 中 包含 带 有 默认 语句 或 不 带 默 认 语句 的 标签 。 要 生成 
一 个 饼 图 ， 需 将 Chart 标 签 的 chartType 属 性 设 为 pie。 提供 的 选项 包括 table、pie 和 bar。 用 户 可 
在 生成 报告 之 前 更 改 此 设置 。 还 可 定义 Axis 标 签 
以 下 代码 显示 了 图 表 子 小 节 的 一 个 示例 。 


<SubSection enabled="true"> 
<Title>New Issues</Title> 
<Description>A list of issues discovered since the previousanalysis</Description> 
<Text>The following issues have been discovered since the lastscan:</Text> 
<IssueListing limit="-1" listine="false"> 
<Refinement > 
<Chart chartType="pie"> 
<Axis>New Issue</Axis> 
</Chart> 
</IssueListing> 
</SubSection> 
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在 上 述 子 小 节 中 ， 图 表 (limit="-1"”listing="false") 包 含 名 为 New Issues 的 标题 以 及 包含 
The following issues have been discovered since the last scan 内 容 的 文本 小 节 。 由 于 "Refinement" 
标签 为 空 , 该 图 表 将 会 包含 所 有 问题 , 并 按照 New Issue( 即 Axis 标签 的 值 ) 的 值 对 这 些 问题 进 
行 分 组 。 该 图 表 将 显示 为 一 个 饼 图 (chartType="pie")。 


8.7.6 ”编写 自 定义 规则 


1. Fortify SCA 规则 概述 


默认 情况 下 ，Fortify SCA 使 用 安装 的 安全 编码 规则 包 用 来 检查 源 代码 ， 并 定义 一 系列 
可 能 出 现 的 问题 ， 如 可 被 攻击 者 利用 的 安全 漏洞 和 不 良 的 编程 实践 。 安 全 编码 规则 包 中 的 规 
则 分 析 了 受 支 持 语言 的 核心 和 扩展 的 API 包 中 的 元 素 ， 并 将 分 析 结 果 记 录 在 Fortify SCA 
中 。 每 个 问题 的 解释 包含 了 对 问题 的 描述 和 建议 的 解决 方案 ， 用 以 保护 漏洞 免 受 攻击 和 修复 
不 良 的 编程 实践 。 可 通过 创建 自 定 义 规则 包 来 准确 地 分 析 特 定 的 应 用 程序 (其 中 包含 有 关 源 代 
码 元 素 附加 信息 的 规则 )， 验 证 专门 的 安全 规则 ， 以 及 细 化 Fortify SCA 所 报告 的 问题 。 

要 编写 有 效 的 自 定义 规则 ,熟悉 已 知 的 安全 漏洞 类 别 和 通常 与 它们 相关 的 函数 类 型 是 非 
常 重要 的 。 深 入 理解 各 类 经 常 出 现在 特定 类 型 漏洞 的 函数 有 利于 在 编写 自 定义 规则 过 程 中 能 
够 瞄准 与 安全 相关 的 函数 。 确 定 函数 的 安全 性 是 一 件 非常 复杂 的 事情 ， 然 而 事实 证 明 花 费 在 
学 习 函 数 类 型 与 漏洞 类 别 之 间 关 系 上 的 时 间 的 确 是 有 益 的 。 必 须 识别 与 安全 相关 的 函数 ， 并 
检查 它们 的 个 体 行为 (通过 检查 源 代码 , 或 借助 API 文档 ) 以 此 来 确定 能 够 体现 各 个 函数 具体 
行为 和 与 之 相关 的 漏洞 类 别 的 正确 规则 形式 。 一 旦 确定 好 了 这 种 联系 ， 使 用 自 定义 规则 编辑 
器 来 创建 规则 就 相对 简单 了 。 


2. 使 用 自 定 义 规则 包 


1) 新 建 自 定义 规则 包 

创建 一 个 自 定义 规则 包 : 

a) 在 Audit( 审 计 ) 窗 口中 , 选择 File( 文 件 ), 再 选择 Open Custom Rules Editor( 打 开 自 定义 
规则 编辑 器 )。 屏 幕 上 将 显示 Fortify Audit Workbench Custom Rules Editor(Fortify Audit 
Workbench 自 定 义 规则 编辑 器 ) 窗 口 。 

b) 选择 File( 文 件 ), 再 选择 New Rule Pack( 新 规则 包 )。 屏幕 上 将 显示 Create a New Folder 
(新 建 规则 包 ) 对 话 框 。 

c) 在 文件 名 栏 ， 输 入 规则 包 的 名 称 。 

d) 单 击 Save( 保 存 )。 在 Table View (表格 视图 ) 中 将 显示 一 个 新 的 自 定 义 规则 包 。 

2) 打开 Custom Rulepack( 自 定义 规则 包 ) 

可 以 在 不 打开 新 规则 的 情况 下 将 它 添加 到 现 有 的 规则 包 中 。 

打开 一 个 现 有 的 自 定义 规则 包 : 

a) 在 Audit( 审 计 ) 窗 口中 , 选择 File( 文 件 )， 再 选择 Open Custom Rules Editor( 打 开 自 定义 
规则 编辑 器 )。 屏 幕 上 将 显示 Fortify Audit Workbench Custom Rules Editor(Fortify Audit 
Workbench 自 定义 规则 编辑 器 ) 窗 口 。 

b) 选择 File( 文 件 ), 再 选择 Open Rulepack (打开 规则 包 )。 屏 幕 上 将 显示 Choose Rules File 
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(选择 规则 文件 ) 对 话 框 。 

c) 选择 所 需 的 规则 包 ， 然 后 单 击 Open( 打 开 )。 在 Table View (表格 视图 ) 中 将 打开 一 个 新 
的 自 定义 规则 包 。 

3) 配置 规则 包 的 细节 

规则 包 信 息 可 以 定义 自 定义 规则 。 默认 的 规则 包 名 称 是 文件 名 。 Audit Workbench、 Fortify 
SCATeam Server 和 Fortify Manager 可 以 通过 显示 Rulepack/Name( 规 则 /名 称 ) 元 素 帮 助 用 户 定 
义 特定 的 规则 包 。 

设置 自 定义 规则 包 的 细节 : 

a) 在 Audit( 审 计 ) 窗 口中 ， 选 择 File( 文 件 )， 再 选择 Open Rulepack( 打 开 规则 包 )。 屏 幕 上 
将 显示 Choose Rules File( 选 择 规则 文件 ) 对 话 框 。 

b) 选择 所 需 的 文件 , 然后 单 击 Open( 打 开 )。 在 Table View( 表 格 视图 ) 中 将 显示 一 个 新 的 
自 定义 规则 。 

c) 单 击 XML View(XML 视图 ) 选 项 卡 。 

设置 规则 包 细 节 ， 如 下 所 示 : 

在 Name (名 称 ) 元 素 中 的 CDATA 的 括号 内 输入 定义 规则 包 的 名 称 。 

在 Description (描述 ) 元 素 中 的 CDATA 的 括号 内 输入 对 规则 包 的 简短 描述 。 

d) 单 击 File( 文 件 )， 再 单 击 Save Rulepack( 保 存 规则 包 )。 可 以 更 改 规则 包 的 名 称 和 描述 。 
规则 包 细 节 的 示例 : 

<Name><![CDATA[myCompany's Security Rules]]></Name> 

<Description><![CDATA[Enforces security guide lines.]]></Description> 

4) 安装 自 定义 规则 包 

默认 情况 下 ，Fortify SCA 通过 使 用 自 定义 规则 目录 中 的 所 有 可 以 找 得 到 的 自 定义 规则 
包 来 分 析 代码 。 自 定义 规则 目录 的 位 置 : 

<install_directory>/Core/config/ssm.properties 

创建 一 个 自 定义 规则 包 : 

a) 在 Audit( 审 计 ) 窗 口中 , 选择 Options( 选 项 ), 再 选择 Options( 选 项 ), 屏幕 上 将 显示 Options 
(选项 ) 窗 口 。 

b) 选择 Rulepack Management( 规 则 包 管 理 ), 屏幕 上 将 显示 Ruelpack Management( 规 则 包 
管理 ) 面 板 。 

c) 单 击 Import Rulepacks( 导 入 规则 包 )。 屏 幕 上 将 显示 Select Rulepack( 选 择 规则 包 ) 对 话 框 。 

qd) 选择 所 需 的 自 定义 规则 包 ， 然 后 单 击 Open( 打 开 )。 自 定义 规则 包 的 副本 会 保存 在 自 
定义 规则 目录 中 。 


3. 使 用 自 定义 规则 向 导 

通过 自 定义 规则 ， 可 以 分 析 第 三 方 和 专 有 的 库 ， 发 现 无 法 扫描 到 的 源 代码 信息 以 及 针对 
可 能 被 安全 编码 规则 包 视 为 问题 的 元 素 编写 相关 的 规则 。 
使 用 向 导 编写 新 规则 : 


1) 在 Audit( 审 计 ) 窗 口中 , 选择 File( 文 件 ), 再 选择 Open Custom Rules Editor( 打 开 自 定义 
规则 编辑 器 )。 屏 幕 上 将 显示 Fortify Audit Workbench Custom Rules Editor(Fortify Audit 
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Workbench 自 定义 规则 编辑 器 ) 窗 口 。 

2) 选择 File( 文 件 )， 再 选择 New Rule( 新 规则 )。 屏 幕 上 会 显示 Rules Wizard (规则 向 导 )。 

3) 选择 所 需 的 规则 类 型 。 向 导 会 提示 输入 有 关 选 定 规则 类 型 的 各 种 信息 。 

4) 在 每 个 窗口 输入 所 需 信 息 ， 然 后 单 击 Next( 下 一 步 )。 屏 幕 上 会 显示 Successful Rule Generation 
(规则 生成 成 功 ) 窗 口 。 

5) 按照 如 下 方式 将 新 规则 添加 到 规则 包 选择 New Rule will be inserted into an already 
open file( 将 新 规则 插入 到 已 打开 的 文件 )， 然 后 选择 所 需 的 自 定义 规则 包 。 选 择 New Rule will 
be savedto( 将 新 规则 保存 至 )， 单 击 Browse( 浏 览 )， 然 后 选择 所 需 的 自 定义 规则 包 。 

6) 选择 Show XML source forthe new rule( 新 规则 显示 XML 源 代码 )。 

7) 单 击 Finish( 完 成 )。 

8) 规则 被 添加 到 规则 包 中 。 自 定义 规则 编辑 器 所 显示 的 规则 包 中 会 包含 以 XML 视图 
方式 显示 的 新 规则 。 

9) 选择 File( 文 件 )， 再 选择 Save Rulepack( 保 存 规则 包 )。 规 则 被 保存 到 规则 包 中 。 


4. 编辑 和 删除 规则 


编辑 规则 : 

1) 选择 需要 编辑 的 规则 。 

2) 单 击 Details( 详 细 信息 )。 屏 幕 上 会 显示 Rule Details Editor( 规 则 细节 编辑 器 )。 

3) 更 改 Rule Parameters and Rule Description (规则 参数 和 规则 描述 ) 面 板 所 需 的 信息 。 
4) 单 击 OK( 确 定 )。 

删除 规则 : 

1) 选择 需要 删除 的 规则 。 

2) 单 击 Delete( 删 除 )。 屏 幕 上 会 出 现 一 个 对 话 框 ， 询 问 是 否 删除 。 

3) 单 击 Yes( 是 ) 删 除 该 规则 ， 或 单 击 No( 否 ) 取 消 删除 。 


5. 在 XML 视图 中 编写 规则 


通过 自 定义 规则 ， 可 以 分 析 第 三 方 和 专 有 的 库 ， 发 现 无 法 扫描 使 到 的 源 代码 信息 以 及 针 
对 可 能 被 安全 编码 规则 包 视 为 问题 的 元 素 编写 相关 的 规则 。 
插入 XML 模板 

1) 在 Custom Rules Editor( 自 定义 规则 编辑 器 ) 中 ， 打 开 自 定义 规则 包 。 在 Eo Audit 
Workbench Custom Rules Editor(Fortify Audit Workbench 自 定义 规则 编辑 器 ) 窗 口中 会 显示 
Table View( 表 格 视图 )。 

2) 单 击 XML View(XML 视图 )。 

3) 右键 单 击 RuleDefinitions( 规 则 定义 ) 标 签 。 

4) 选择 Insert Rule Template( 插 入 规则 模板 ) - <template_ name>。template name 适用 于 
<install_directory>/Core/config/ruletemplates/rules 中 的 所 有 模板 。 规则 中 会 插入 所 有 需要 的 元 素 。 

5) 在 属性 和 元 素 中 输入 规则 信息 完成 规则 。 必 填 的 元 素 和 属性 会 以 栏 中 的 红色 义 标 识 。 

6) 完成 后 ， 选 择 File( 文 件 )， 再 选择 Save Rulepack( 保 存 规 则 包 )。 

创建 自 定义 规则 模板 
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自 定义 规则 模板 是 带 有 常规 规则 定义 组 件 的 XML 文件 。 可 以 修改 现 有 的 模板 或 创建 自 
己 的 模板 。 

创建 模板 : 

1) 在 Custom Rules Editor ( 自 定义 规则 编辑 器 ) 的 XML 视 图 中 复制 规则 定义 。 

2) 将 规则 粘贴 到 文本 文件 中 。 

3) 用 希望 显示 在 Insert Rule Template (插入 规则 模板 ) 中 的 名 称 命名 文件 ， 并 将 其 保存 在 
下 面 的 目录 中 : 

<install_directory>/Core/config/ruletemplates/rules 文件 名 将 显示 在 可 用 模板 列表 中 。 


6. 配置 自 定义 规则 元 素 


1) 定义 规则 信息 

规则 信息 的 识别 也 可 以 在 其 他 过 程 实现 ， 如 Project Summary( 项 目 摘要 ) 面 板 中 的 
AuditWorkbench Audit Issue Details( 审 计 问 题 细 节 ) 选 项 卡 。 设 置 语言 是 必需 的 , 指定 标签 和 指 
定 注意 事项 是 可 选 的 。 

a) 设置 语言 

规则 是 特定 语言 。 必 须 设置 语言 属性 。 格 式 版 本 号 属性 指定 了 规则 版 本 号 。 当 前 安全 编 
码 规则 包 版 本 号 是 3.4。 以 下 示例 显示 了 用 于 Java 的 3.4 版 本 的 语义 规则 : 

<SemanticRule formatVersion="3.4" language= "java"> 

b) 添加 标签 

将 在 输出 中 包含 允许 输入 文字 的 标签 元 素 。 比 如 ， 标 签 文字 将 显示 在 Analysis Trace( 分 
析 跟 踪 ) 面 板 中 。 输 入 字 串 设置 标签 ， 如 ，; 

<Label>Company Rule<Label> 

c) 添加 笔记 

使 用 笔记 标签 ， 可 以 输入 任何 相关 信息 或 关于 新 规则 的 评论 。 笔 记 仅 显示 在 XML 视图 
中 。 如 下 例 所 示 ， 在 CDATA 的 括号 中 输入 文本 : 

<Notes><![CDATA[Enforces corporate security policies.]]></Notes> 

2) 定义 自 定义 规则 描述 

可 以 写 下 新 规则 描述 ， 可 以 在 选择 Details and Recommendations (细节 和 建议 ) 选 择 卡 时 
获得 该 描述 。 描 述 提供 关于 决定 漏洞 的 标准 和 修正 漏洞 的 补救 方案 的 信息 。 

a) 编写 概要 

在 概要 元 素 中 输入 对 问题 的 描述 ， 该 描述 被 设计 作为 一 个 摘要 提供 给 对 分 类 (category) 
未 必 熟 悉 的 审计 员 的 。 这 个 描述 不 应 试图 解释 分 类 ， 而 应 提供 一 个 对 本 身 性 质 的 尽 可 能 多 的 
提示 。 这 段 文本 会 在 一 些 狭窄 的 空间 出 现 ， 所 以 它 不 应 超过 10 个 单词 。 

如 以 下 例子 所 示 ， 概 要 元 素 中 的 文字 必须 使 用 CDATA 括号 : 
<Abstract> 

<![CDATA[Enter a description of the issue that the mle matches.]> 
</Abstract> 

b) 编写 解释 

解释 元 素 中 的 文字 显示 在 Details( 细 节 ) 选 项 卡 中 。 包 括 对 漏洞 的 深入 讨论 ， 与 漏洞 相伴 
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的 典型 构造 ， 漏 洞 会 如 何 被 利用 ， 和 可 能 发 动 攻击 的 范畴 。 
如 下 例 所 示 ， 概 要 元 素 中 的 文字 必须 使 用 CDATA 括号 : 
<Explanation> 
<![CDATA[Enter a detailed explanation on vulnerability.]]> 
</Explanation> 
c) 编写 建议 
建议 元 素 中 的 文字 显示 在 Recommendation( 建 议 ) 选 项 卡 中 。 该 文字 应 解释 如 何 修复 漏洞 。 


<Recommendations> 
<![CDATA[Enter instructions on how to fx the issue.]]> 
</Recommendations> 


d) 编写 提示 

提示 元 素 中 的 文字 显示 在 Recommendation( 建 议 ) 选 项 卡 中 。 包 括 普遍 或 困难 的 审计 情况 
的 范例 ， 带 有 如 何 鉴别 特定 问题 的 小 提示 。 随 着 在 真实 审计 中 新 情况 的 发 现 ， 这 个 部 分 的 内 
容 应 该 逐渐 增多 。 小 提示 应 该 是 真实 的 ， 并 对 努力 要 搞 清楚 一 份 source code analysis 结果 的 
人 有 帮助 。 

<Tips> 

<![CDATA[Enteratip.]P> 

</Tips> 

3) 定义 领域 、 类 别 和 严重 性 

当 编 写 以 下 规则 类 型 时 ， 请 设置 领域 (可 选 )、 类 别 和 严重 性 : 

Configuration 

Control Flow 

Data Flow Sink 

Semantic 

Structural 

a) 使 用 自 定义 规则 向 导 

在 自 定 义 规则 向 导 中 ， 请 选择 以 下 的 漏洞 信息 : 

e 类 别 : 选择 一 个 类 别 或 输入 与 此 规则 匹配 的 一 个 事件 的 新 类 别 (最 多 255 个 字符 )。 

列表 显示 出 用 于 安装 的 自 定 义 和 安 全 编码 规则 包 的 规则 的 类 别 ; 

e 严重 性 : 为 与 此 规则 相符 合 的 事件 设置 severity( 严 重 ) 属 性 ， 可 选择 Low( 低 )、 

Medium( 中 )、High( 高 ) 或 severity( 严 重 )。 
b) 使 用 XML View (XML 视图 ) 
在 XML View(XML 视图 ) 中 为 表 8-11 中 的 标签 设置 规则 信息 值 。 


表 8-11 自 定义 规则 信息 字段 


元 素 数据 类 型 描述 
VulnCategory | 字符 串 对 漏洞 的 分 类 和 分 级 ， 如 Buffer Overflow 或 者 SQL Injection 
浮 点 显示 漏洞 重要 性 级 别 的 范围 ， 从 1.0 到 5.0 


DefaultSevenity 


漏洞 所 属 的 领域 
漏洞 类 别 的 子 类 别 
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注意 : 按 下 Cal+Space 会 列 出 用 于 本 地 安装 的 安全 编码 规则 包 和 自 定义 规则 包 的 规则 类 
型 的 值 ， 如 图 8-47 所 示 。 


Enter the category, severiy, accuracy impact remediation effor and probabilty cf 


Cuogory Void Nora) _ 


图 8-47” 自 定义 规则 向 导 : 类 别 和 严重 性 屏幕 


3) 定义 函数 

a) 使 用 自 定义 规则 向 导 

如 图 8-48 所 示 ， 使 用 Java 风格 正则 表达 式 以 识别 在 Function Information( 函 数 信息 ) 窗 口 
中 与 所 有 规则 类 型 相符 的 函数 。 以 下 将 适用 于 除了 配置 与 别名 之 外 的 所 有 规则 类 型 中 : 

数据 包 : 如 果 已 定义 将 触发 当前 规则 的 函数 ， 请 输入 与 命名 空间 或 数据 包 相符 的 正则 表 

类 别 : 如 果 已 定义 会 触发 当前 规则 的 函数 ， 请 输入 与 类 别 相符 的 正则 表达 式 。 

函数 : 为 将 触发 当前 规则 的 函数 或 方法 输入 正则 表达 式 。 

注意 : 别名 规则 用 于 定义 窗口 中 函数 ， 将 在 下 一 节 描述 别名 规则 。 

ET Information 


图 8-48” 自 定义 规则 向 导 : 函数 信息 窗口 
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b) 使 用 XML View (XML 视图 ) 
定义 命名 空间 、 类 别 和 函数 
FunctionIdentifier 元 素 用 于 识别 应 用 规则 的 函数 ， 如 表 8-12 所 示 。 


表 8-12 识别 XML 中 的 函数 


元 素 名 称 内 容 描述 
如 果 已 定义 将 触发 当前 规则 的 函数 ， 请 输入 与 全 
名 空间 或 数据 包 精确 匹配 的 字符 出 
NamespaceName 
， 如 果 已 定义 将 触发 规则 的 函数 ， 请 输入 与 命名 空 
tt 
人 间或 数据 包 名 称 相符 的 正则 表达 式 
如 果 已 定义 将 触发 规则 的 函数 ， 请 输入 与 类 别 精 
TEXT 
确 匹配 的 字符 串 
ClassName 
。 如 果 已 定义 会 触发 规则 的 函数 ， 请 输入 与 类 别 相 
tte 
符 的 正则 表达 式 
i 输入 能 够 触发 规则 的 函数 或 方法 的 名 称 
FunctionName 
上 输入 与 触发 规则 的 函数 名 称 相符 的 正则 表达 式 


识别 并 定义 函数 参数 

定义 函数 参数 可 以 限制 这 样 的 规则 ， 即 与 那些 有 其 他 特定 值 的 函数 相 匹 配 并 符合 某 一 个 
签名 (参数 列表 ) 的 函数 。 限 制 函数 基于 签名 触发 规则 在 语言 中 十 分 有 用 ， 允 许 具 有 相同 名 字 
函数 的 定义 能 够 重 载 ， 以 便 接 受 不 同 参数 。 

如 表 8-13 所 示 ， 在 参数 元 素 中 定义 函数 的 参数 : 


表 8-13 函数 的 参数 
描述 


用 于 识别 函数 是 否 具有 参数 的 变量 数 

字符 串 和 那些 在 特定 函数 中 定义 的 参数 类 型 相 
对 应 。 空 的 或 未 识别 元 素 将 指引 Fortify SCA 不 
受 任何 限制 地 与 任何 方法 或 函数 签名 相 匹配 
整数 代表 了 匹配 的 任意 类 型 参数 的 最 小 数量 ， 
出 现在 特定 函数 的 签名 的 最 后 

整数 代表 了 匹配 的 任意 类 型 参数 的 最 小 数量 ， 
出 现在 特定 函数 的 签名 的 最 后 


WildCarda 


7. 验证 自 定义 规则 


验证 自 定义 规则 包 : 创建 简单 的 测试 代码 来 验证 所 编写 的 规则 ， 并 将 新 的 自 定义 规则 保 
存 到 测试 规则 包 中 。 使 用 FortifySCA 仅 根 据 新 的 自 定义 规则 来 扫描 测试 代码 。 
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注意 : 验证 规则 时 ， 通 过 选择 Options( 选 项 )， 然 后 选择 Show Hidden( 显 示 隐 藏 )、Show 
Removed( 显 示 删 除 ) 和 Show Suppressed (显示 上 废除) 来 显示 所 有 问题 。 
使 用 新 的 自 定义 规则 进行 扫描 

本 节 将 介绍 如 何 使 用 测试 自 定义 规则 包 来 扫描 项 目 。 确保 测试 自 定义 规则 包 中 仪 包含 希 
望 测试 的 规则 。 在 验证 一 个 清晰 的 规则 时 ， 首 先 使 用 安全 编码 规则 包 扫 描 项 目 ， 然 后 使 用 自 
定义 规则 包 和 安全 编码 规则 包 再 扫描 一 次 。 在 使 用 某 个 函数 且 问 题 已 被 删除 的 上 下 文中 验证 
规则 是 否 与 该 函数 匹配 。 

使 用 新 的 自 定义 规则 扫描 源 代码 : 

1) 创建 简单 的 源 文 件 ， 其 中 的 代码 与 其 文件 夹 中 的 规则 匹配 。 

2) 打开 Audit Workbench, 单 击 Advanced Scan( 高 级 扫描 )。 屏 幕 上 会 显示 Browse for Root 
Directory( 浏 览 根 目 录 ) 窗 口 。 

3) 选择 包含 源 文件 的 文件 夹 ， 然 后 单 击 OK( 确 定 )。 屏 幕 上 会 显示 Commandline Builder 
(命令 行 构建 器 ) 对 话 框 。 

4) 如 果 是 Java 项 目 ， 选 择 根 文件 夹 ， 然 后 单 击 Classpath Directory( 类 路 径 目 录 )。 

5) 单 击 Next( 下 一 步 )。Commandline Builder: Stages of Fortify SCA Analysis( 命 令 行 构建 
器 : Fortify SCA Analysis 操作 步 又) 窗口 会 显示 在 屏幕 上 。 

6) 单 击 Manage Rulepacks( 管 理 规则 包 )。 

7) 如 果 未 安装 测试 自 定义 规则 包 , 单 击 Add Custom Rulepack( 添 加 自 定义 规则 包 )， 然 后 
安装 规则 包 。 

8) 清除 所 有 安全 编码 规则 包 并 自 定义 规则 包 (测试 包 除 外 )。 

注意 ， 在 测试 清晰 的 规则 时 ， 使 用 安全 编码 规则 包 和 自 定义 规则 包 进 行 扫 描 。 

9) 单 击 OK( 确 定 )。 

10) 单 击 Run Scan( 运 行 扫描 )。 

FPR 文件 会 显示 在 Audit( 审 计 ) 窗 口中 。 

验证 函数 是 否 与 规则 匹配 ，Fortify SCA 将 规则 与 函数 一 一 匹配 。 利 用 这 些 说 明 来 确保 
规则 能 够 匹配 所 有 希望 匹配 的 函数 ， 即 便 是 规则 类 型 可 能 从 结果 中 删除 了 问题 。 
以 下 规则 类 型 可 能 不 会 产生 问题 : 

e@ Cleanse or validation rules: 删除 经 由 函数 的 数据 中 的 感染 标识 ; 

@ ”Source rules: 为 从 该 函数 返回 的 数据 添加 一 个 或 多 个 感染 标识 。 这 些 规则 可 能 /不 可 

能 产生 问题 ; 

e Sink mles: 将 带 有 特定 感染 标识 的 数据 到 达 函 数 的 情况 识别 为 问题 。 

查看 匹配 函数 的 规则 : 

1) 在 函数 面板 中 ， 选 择 Show All( 显 示 全 部 ) 和 Group by function( 按 函数 分 组 )。 
屏幕 上 会 显示 源 代码 中 的 所 有 函数 。 

2) 验证 规则 是 否 正确 匹配 了 函数 : 

a) 右键 单 击 函数 ， 然 后 选择 Show Matched Rules( 显 示 匹 配 的 规则 )。 屏 幕 上 会 显示 
Matched Rules( 匹 配 的 规则 ) 窗 口 。 它 会 显示 匹配 该 函数 的 所 有 规则 。 

b) 定位 测试 中 的 自 定义 规则 的 规则 了 D。 

c) 单 击 OK( 确 定 ) 以 关闭 窗口 。 
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qd) 对 规则 所 需 匹 配 的 每 一 个 函数 执行 同样 的 操作 。 

3) 要 查看 函数 的 使 用 位 置 ， 右 键 单 击 函数 ， 然 后 选择 Find Usages( 查 找 使 用 )。 

Search Results( 搜 索 结果 ) 选 项 卡 会 显示 该 函数 的 位 置 列表 。 其 中 包括 文件 的 路 径 和 函数 

使 用 的 代码 行 数 。 

注意 : 这 是 验证 规则 匹配 所 需 函数 的 最 准确 方式 。 

4) 单 击 函数 的 位 置 以 在 代码 导航 面板 中 显示 该 函数 。 

列 出 规则 报告 的 各 个 问题 : 这 部 分 说 明 介 绍 了 如 何 查找 和 验证 与 特定 规则 相 匹 配 的 问题 。 

查找 匹配 某 一 规则 的 所 有 问题 : 

1) 在 Issue (问题 ) 面 板 中 ， 单 击 All( 全 部 ) 选 项 卡 。 

2) 在 Group by (分 组 方式 ) 中 ， 选 择 New Issue( 新 问题 )。 屏 幕 上 会 显示 新 问题 列表 。 

3) 选择 所 需 问题 ， 然 后 单 击 Details( 详 细 信 息 ) 选 项 卡 。 

4) 深 动 至 末尾 ， 然 后 复制 规则 ID。 

5) 在 Search( 搜 索 ) 字 段 中 ， 输 入 ruleid: 然后 立即 粘贴 规则 站。 例如 :maleid:97B9518A- 
Fl1BC-44CE-BEB1-D5FBDDFCCFD 

6) 按 Enter 键 ， 屏 幕 上 会 显示 所 有 与 搜索 标准 相 匹配 的 问题 。 

7) 验证 规则 是 否 报告 了 所 需 的 问题 的 类 型 和 数目 。 

列 出 从 扫描 中 删除 的 问题 ， 发 现在 扫描 期 间 删 除 问题 的 规则 并 非 易 事 ， 这 部 分 说 明 介 绍 
了 如 何 显示 所 有 在 扫描 期 间 删 除 的 问题 。 要 显示 准备 删除 的 项 ， 需 要 首先 使 用 安全 编码 规则 
包 扫 描 代 码 ， 然 后 使 用 安全 编码 规则 包 和 自 定义 的 规则 包 ( 包 含 验证 规则 ) 扫 描 相同 的 代码 库 。 

查找 删除 的 问题 : 

1) 在 Issue( 问 题 ) 面 板 中 ， 单 击 All( 全 部 ) 选 项 卡 。 

2) 在 Group by( 分 组 方式 ) 中 ， 选 择 Removed Issues( 删 除 问 题 )。 
屏幕 上 会 显示 此 扫描 和 最 后 一 个 扫描 之 间 的 问题 列表 。 

自 定义 规则 包 的 疑难 解答 : 

扫描 时 报告 的 语法 错误 : 如 果 以 下 错误 发 生 在 通过 新 规则 运行 扫描 的 过 程 中 ， 在 XML 
View(XML 视图 ) 中 打开 规则 ， 并 验证 规则 的 每 一 个 元 素 信息 是 否 完 整 。 错 误 表 示 规 则 的 格式 

[1380] Rule "11F48876-58A8-4A48-8D78-C52E9295DC7E": 语 法 错误 。 

检查 扫描 错误 和 警告 : 

1) 选择 Tools( 工 具 )， 再 选择 Project Summary( 项 目 汇总 )。 

2) 在 Project Summary( 项 目 汇总 ) 面 板 中 ， 单 击 Analysis Information( 分 析 信 息 ) 选 项 卡 ， 如 

图 8-49 所 示 。 

3) 单 击 Wamings( 和 警告 ) 选 项 卡 。 屏 幕 上 会 显示 扫描 警告 和 错误 。 

预期 的 问题 未 显示 : 自 定义 规则 可 能 不 匹配 ， 原 因 如 下 : 

e 函数 或 方法 、 类 和 包 或 命名 空间 的 类 型 与 函数 在 代码 中 的 使 用 方式 不 匹配 ; 

e ”由 源 规则 添加 的 TAINT 标识 与 sink 规则 中 的 TAINT 标识 条 件 不 匹配 ; 

e TAINT 标识 被 pass-through 规则 意外 删除 ; 

。 匹配 这 个 问题 的 可 见 性 过 滤器 。 选 择 Options( 选 项 ), 然后 选择 Show Hidden Issues( 显 

示 隐 藏 问题 )。 在 All( 全 部 ) 选 项 卡 中 ， 选 择 Group by <none>( 任 意 分 组 )， 右 键 单 击 该 
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问题 , 然后 选择 Why is this issue hidden? (这 个 问题 为 何 隐藏 ”), Filters (过 滤器 ) 选 项 
卡 上 会 突出 显示 Visibility Filter (可 见 性 过 滤器 )。 


口 Project Summary 国 UserServ.java 


Sumenary | Certfication Bld information | Analysis Information 


SCA Engine Yersion: 5.0.0.0240 Username: 


Platform: Code Scanned in: 00:0s 


Machine Name: 


Rulepacks Properties omnes pm Warnings 
[1380] Rule "11F46876-SSA5-4A46-6D76-CS2E9295SDC7E"; Syrtax error 


图 8-49 扫描 信息 
8.7.7 ”故障 排除 与 支持 


1. 故障 排除 


1) 利用 日 志文 件 进行 故障 排除 

如 果 直 到 运行 时 错误 ， 请 查看 日 志文 件 以 获取 相关 信息 。 

有 关 Fortify 的 错误 ， 请 参见 <fortify_data_directory>/awb/log/awb.log 

有 关 Eclipse 的 错误 ， 请 参见 <fortify_data_directory>/awb/.metadata/ .log 

其 中 : 

在 Unix 平台 上 ，<fortify_data_directory> 是 指 目录 ~/ fortify 

在 Windows 平台 上 ,<fortify_data_directory> 是 指 Documents and Settings 下 特定 用 户 目录 

下 的 Local Settings/Application Data/Fortify 

2) org.eclipse.swt.SWTEmror 错误 消息 

在 Unix 系统 上 ，Audit Workbench 可 能 无 法 启动 ， 并 会 显示 下 列 错误 : 

org.eclipse.swt.SWTErmror: No more handles [gtk_init_check() failed] 

如 果 看 到 这 个 错误 ， 则 请 确保 X11 的 配置 正确 无 误 ， 而 且 已 经 设置 了 DISPLAY 变量 。 

3) 内 存 不 足 错 误 

如 果 遇 到 内 存 不 足 的 错误 ， 而 且 使 用 的 不 是 Macintosh OS 平台， 可 设置 AWB VM _ 
OPTS 环境 变量 来 配置 更 大 的 堆 大 小 。 


“370。 软件 安全 测试 及 工具 应 用 


例如 ， 要 为 Audit Workbench 分 配 700 MB， 则 将 该 变量 设置 为 -Xmx700M。 当 指定 该 
选项 时 ， 确 保 分 配 的 内 存 未 超过 可 用 的 物理 内 存 ， 否 则 会 降低 效能 。 

作为 一 项 指导 原则 ， 假 设 没有 执行 其 他 内 存 密集 型 进程 ， 分 配 的 内 存 不 应 超过 系统 可 用 
内 存 的 2/3。 

如 果 使 用 的 是 Macintosh OS 又， 请 编辑 下 列 文件 ， 将 -Xmx500m 参数 改 为 -Xmx700m 或 
更 高 : 

<install_directory>/Auditworkbench.app/contents/MacOS/eclipse.ini 
如 果 超过 JVM 在 以 下 平台 上 强制 执行 的 限制 ， 则 Audit Workbench 可 能 无 法 加 载 ， 并 显示 
错误 : JVM terminated.Exit code=1。 

e Linux2.4-1800MB 
Linux 2.6 - 2650 MB 
Windows 2000 - 1500 MB 
Windows 2003 - 1500 MB 
Windows XP - 1250 MB 
Mac OS X - 1800 MB 
AIX 5.2 - 无 限制 
Solaris 8 - 1800 MB 

4) 重 署 默 认 视 图 

如 果 曾 经 关闭 或 者 移动 过 面板 ， 如 Issues (问题 ) 面 板 或 Summary (摘要 ) 面 板 ， 则 可 以 在 
Options (选项 ) 菜 单 中 选择 Reset Default Views ( 重 署 默 认 视 图 )， 即 可 将 用 户 界 面 重 置 回 原始 


2. 报告 错误 和 请 求 增 强 功能 


用 户 反馈 在 产品 的 成 功 过 程 中 必 不 可 少 。 要 请 求 增强 功能 、 补 丁 ， 或 者 报告 错误 ， 请 发 
送 电子 邮件 到 技术 支持 中 心 : 

techsupport@fortify.com 

请 务必 在 电子 邮件 主体 中 包含 下 列 信息 : 

产品 : Audit Workbench 

版 本 号 : 要 确定 版 本 号 ， 请 在 Audit Workbench 界面 上 选择 Help( 帮 助 )， 然 后 选择 About 
AuditWorkbench( 关 于 Audit Workbench)。 

z 台 : (例如 PC) 

操作 系统 : (例如 Windows 2000) 

当 请 求 增强 功能 时 ， 请 包含 有 关 增 强 功能 的 描述 。 

当 报告 错误 时 ， 请 提供 足够 的 详细 信息 ， 以 便 最 大 限度 地 重 现 该 问题 。 描 述 得 越 详细 ， 
技术 支持 部 门 就 能 越 快 地 分 析 并 修复 该 问题 。 同 时 要 包含 从 发 生 该 问题 时 开始 记录 的 日 志文 
件 ( 或 其 中 的 相关 部 分 )， 以 及 对 该 问题 严重 程度 的 评价 : 

e 阻 断 性 的 

e 致命 性 的 

。 重大 的 
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e 一 般 的 
e 次 要 的 
e 轻微 的 


8.8 HP Fortify 实时 安全 分 析 器 的 主要 特征 


8.8.1 Fortify RTA 概述 


Fortify RTA 是 Fortify 公司 独 有 的 在 软件 运行 时 进行 安全 防护 的 软件 。 它 可 以 理解 为 “ 软 
的 人 PS”, 提供 对 Web 应 用 系统 运行 时 刻 的 防护 和 监控 功能 。RTA 的 独特 之 处 是 它 仅仅 是 一 
堆 代 码 ， 通 过 静态 插 桩 方式 与 Web 应 用 系统 的 二 进 制 代码 结合 后 ， 就 可 以 在 Web 应 用 系统 
内 部 工作 。 实 时 地 了 解 、 跟 踪 并 分 析 Web 应 用 系统 的 运行 状况 ， 当 有 恶意 攻击 数据 进入 系统 
时 ， 它 会 及 时 地 阻止 攻击 发 生 ， 为 应 用 系统 提供 及 时 地 防护 ， 同 时 ， 它 会 把 所 有 关于 攻击 的 
信息 详细 地 记录 下 来 ， 发 送 至 控制 台 ， 从 攻击 的 When、What、Where、How 以 及 Who 等 方 
面 ， 多 维度 报告 攻击 行为 的 信息 ， 让 运 维 人 员 或 者 安全 管理 人 员 及 时 地 了 解 上 线 的 应 用 系统 
在 生产 过 程 中 遭受 到 的 黑客 攻击 ， 以 及 应 用 系统 自身 所 存在 的 安全 漏洞 等 相关 技术 的 详细 数 
据 和 信息 。 它 使 得 软件 主动 防御 黑客 成 为 可 能 。 图 8-50 显示 了 工作 原理 图 。 


Fortify RTA 一 工作 原理 图 


图 8-50 Fortify RTA 工作 原理 图 


8.8.2 Fortify RTA 工作 原理 


“Fortify RTA， 它 通过 对 Web 应 用 系统 的 每 个 DNA 注入 安全 因子 来 增强 应 用 系统 自 
身 的 防 攻 击 能 力 ”, 这 是 OWASP 组 织 创始 人 Mark Curphey 给 出 的 形象 化 描述 。 正 如 Mark 
Curphey 所 说 ，Fortify RTA 是 根据 AOP 一 一 “面向 切面 编程 ”的 原理 ， 通 过 对 Web 应 用 系 
统 的 可 执行 代码 (不 需要 源 代码 ) 进 行 静态 分 析 ， 找 出 所 有 的 输入 点 (Input) 和 输出 点 (Output)， 
插入 安全 切面 ， 即 Fortify RTA 的 安全 防御 机 制 。 因 此 Fortify RTA 的 安全 检测 机 制 就 结合 
到 了 应 用 系统 内 部 中 , 与 应 用 系统 的 执行 代码 成 为 一 体 ,就 如 同 RTA 是 一 剂 安全 防御 疫苗 
被 注入 到 了 应 用 系统 中 。 从 应 用 系统 内 部 形成 防护 网 。 这样 一 来 ， 当 结合 了 RTA 的 应 用 系 
统 在 生产 环境 上 受到 黑客 攻击 时 ， 系 统 中 的 RTA 就 可 以 及 时 地 对 其 进行 防御 了 。 
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Fortify RTA 控制 台 


Fortify RTA 的 功能 之 二 就 是 可 以 把 应 用 系统 遭受 的 攻击 的 详细 技术 信息 记录 并 报告 出 


来 ， 方 便 系统 运 维 人 员 或 安全 管理 人 员 及 时 地 了 解 生产 环境 上 的 应 


系统 的 安全 状况 。 如 


图 8-51 所 示 ， 报 告 从 When、What、Where、How 以 及 Who 等 多 维度 地 呈现 ， 便 于 相关 人 
员 及 时 制订 应 对 策略 。 四 


8.8.4 


8.8.5 


图 8-51 Fortify RTA 报告 控制 台 


Fortify RTA 能 够 防御 的 攻击 种 类 


Cross-SiteScripting/Cross-SiteScripting:PoorValidation 
HTTPResponseSplitting 
PoorErrorHandling:UnhandledException 
PrivacyViolationGeneric 
SQLInjection/SQLInjection:Hibemate/NHibemate 
SessionFixation 
PrivacyViolation:CreditCard/SocialSecurityNumber 
CreditCardFraud 

CrossSiteRequestForgery 

DecoyTampering 

ForcefulBrowsing 

LinkSpam(Reflected&Persistent) 
Probing/Probing:BrokenLink/CommandInjection/ Worm 
SystemInformationLeakage 


Fortify RTA 应 用 的 平台 


语言 : J2SE 1.4 或 更 新 版 本 ，J2EE 1.3.1 或 更 新 版 本 ; NET1.1 和 2.0 


操作 系统 : Windows 2K, 2003, XP; Linux RH9, ES 3.0, Fedora; Mac OS X; 


Solaris8 和 9 


第 8 章 HPFortify 工具 使 用 *。373。 


应 用 服务 器 : Tomcat 4.X.5.X, 6.X; Weblogic 8.x.9.X; Jboss, Websphere 6.0, IIS 
Web 浏览 器 : Linux 和 Solaris Mozilla 1.7 或 更 新 版 本 ; Firefox 1.0 或 更 新 版 本 ; Windows 
IE 6, Firefox 1.0 或 更 新 版 本 ; Macintosh Firefox 1.0 或 更 新 版 本 


8.9 ”HP Fortify 程序 跟踪 分 析 器 (PTA) 


8.9.1 Fortify PTA 概述 


Fortify PTA 是 Fortify Software 公司 最 新 推出 的 软件 安全 动态 测试 工具 。 它 可 以 帮助 软 
件 功 能 测试 人 员 (QA 人 员 ) 在 不 需要 任何 黑客 渗透 测试 技术 的 情况 下 , 对 B/S 应 用 系统 进行 动 
态 的 安全 性 测试 。Fortify PTA 利用 动态 污染 传播 方法 (DYNAMIC TAINT PROPAGATION) 
对 测试 人 员 输 入 的 测试 数据 进行 跟踪 ， 分 析 数 据 在 程序 中 的 传递 和 执行 情况 ， 从 中 分 析 程 序 
中 潜在 的 安全 漏洞 ， 帮 助 功能 测试 人 员 报 告 安全 测试 结果 ， 整 个 过 程 自动 完成 ， 功 能 测试 人 
员 只 需 做 常规 的 功能 测试 即 可 。 解 决 了 缺乏 安全 渗透 测试 人 员 和 功能 测试 人 员 缺 乏 黑 客 知识 
的 难题 。 


8.9.2 Fortify PTA 工作 原理 


Fortify PTA 利用 动态 污染 传播 方法 的 特点 ， 首 先 对 软件 的 二 进 制 代码 进行 插 桩 分 析 ， 找 
出 所 有 Source、Sink 代码 ， 建 立 检测 机 制 。 然 后 对 程序 进行 常规 的 功能 测试 。 测 试 过 程 不 需 
要 测试 人 员 输 入 任何 带 攻 击 性 的 测试 数据 ，Fortify PTA 会 根据 功能 测试 自动 找 出 软件 中 所 有 
可 能 因 外 部 输入 数据 而 造成 的 安全 问题 ， 并 根据 漏洞 清晰 地 报告 出 来 。 如 图 8-52 所 示 。 


Fortify Rules 


一 Fortify Call Site Monitors 


Web 
Services 


ee Te da 局 NOT necessafly an attack 


Interface ~ 


Web _ 9 sn | File 
Services System 


Functional 
or QA Test 


Fe | 
System -Nl Database 


Other > Other 


Fortify Tracer 


Console 
Functional/QA test Only 


图 8-52 ”Fortify PTA 工作 原理 图 
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8.9.3 ”Fortify PTA 特点 


总 结 Fortify PTA 的 主要 特点 有 : 

1) 不 需要 特殊 的 攻击 性 测试 数据 ， 让 QA 人 员 都 可 以 做 安全 测试 。 解决 测试 缺乏 安全 
知识 、 攻 击 知识 的 难题 。 

2) 由 于 直接 跟踪 外 部 输入 数据 ， 所 以 能 够 很 真实 、 有 效 地 找 出 系统 中 最 严重 、 最 关键 的 
安全 问题 。 

3) 与 功能 并 行 ， 速度 快 ,效率 高 ,很 容易 与 现 有 测试 流程 结合 。 同 时 利用 功能 测试 覆盖 
率 高 的 优点 ， 大 大 提高 了 动态 安全 测试 的 覆盖 率 。 

4) 如 图 8-53 所 示 , Fortify PTA 根据 漏洞 类 别 清晰 地 报告 出 来 , 单 击 报 出 的 每 一 个 漏洞 ， 
Fortify PTA 可 以 给 出 该 漏洞 在 什么 地 方 产生 的 ， 它 的 Source 和 Sink 分 别 在 哪里 等 清晰 而 又 
详细 的 报告 。 


Events File: Browse.. 
Cument Rn Clear| pause | NewRun | Exportto Fortify ee Import Events 
Name: Random Status: In Progress 
Security Issues 
es Dy Creo 
a 
ge 
g > 办 
Oritieal Hon Medum Low ne Log Foring:3 二 SOL inecton:1 日 Unhandied Exception: 1 
Security Coverage 
Edi View 
All Entry Points(3/5) CC 40.0% Miss 
Web Entry Points(2/2) IE 0.0% Mss 
Al End Points(4/6) ss=e— = 33.39 Miss 


图 8-53 Fortify PTA 安全 测试 报告 


8.9.4 Fortify PTA 可 以 分 析 和 防御 的 安全 漏洞 种 类 


SQL Injection 

Cross-Site Scripting: Reflective 
Cross-Site Scripting: Persistent 

Command Injection 

Arbitrary URL Redirection 

Path Manipulation 

HTTP Response Splitting 

Unhandled Exception 

Privacy Violation: Social Security Number 
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Privacy Violation: Credit Card Number 
Log Forging 

Xpath Injection 

LDAP Injection 

Private data being stolen 

Secunity leaks 

Fraudulent behavior 

Web site defacement 

Phishing attacks 

Escalation of privileges 


Fortify PTA 应 用 的 平台 


语言 : J2SE 1.4 或 更 新 版 本 ，J2EE 1.3.1 或 更 新 版 本 ，NET 1.1 和 2.0 
操作 系统 : Windows 2K, 2003, XP; Linux RH9, ES 3.0.Fedora; Mac OS XSolaris8 和 9 
应 用 服务 器 Tomcat 4.X, 5.X, 6X; Weblogic 8.x,9.X; Jboss, Websphere 6.0, IIS 


Fad 
bd 
a 


Web 浏览 器 : Linux 和 Solaris Mozilla 1.7 或 更 新 版 本 ; Firefox 1.0 或 更 新 版 本 ; Windows 


正 6, Firefox 1.0 或 更 新 版 本 ; Macintosh Firefox 1.0 或 更 新 版 本 


8.10 本章 小 结 


本 章 介绍 了 HP Fortify 的 三 大 分 析 器 , 其 中 主要 讲述 了 静态 代码 分 析 器 (Eortify SCA), 包 
括 主要 特征 、 不 同系 统 下 的 安装 特点 、 分 析 原 理 、 分 析 过 程 、 代 码 扫描 方式 、 转 换 源 代码 和 
Audit Workbench 工具 的 使 用 ， 深 入 讨论 了 静态 代码 分 析 器 5 大 分 析 引 擎 ， 介 绍 安全 漏洞 扫描 


机 制 并 对 扫描 结果 进行 分 析 。 以 上 所 述 也 充分 体现 了 SCA 代码 分 析 和 对 扫描 结果 进行 处 理 的 


强大 功能 。 


另外 ， 本 章 还 对 实时 安全 分 析 器 (RTA) 和 程序 跟踪 分 析 器 (PTA) 进 行 了 简要 介绍 , 包括 工 


作 原 理 、 控 制 台 情况 、 防 御 攻 击 种 类 以 及 各 自 应 用 的 平台 。 可 通过 了 解 两 个 分 析 器 的 实际 月 
途 和 发 展 状况 ， 来 保障 企业 或 个 人 信息 的 安全 。 
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